Proteja a sua aplicação e APIs dos atacantes

O teste dinâmico de segurança de aplicações (DAST) significa analisar uma aplicação Web em execução a partir do exterior (caixa negra), semelhante à forma como um atacante sondaria o seu site. É importante porque encontra problemas de segurança que só aparecem quando a aplicação está em funcionamento - por exemplo, configurações incorrectas ou fluxos de autenticação quebrados que não seriam aparentes apenas olhando para o código. Em suma, a DAST permite-lhe detetar vulnerabilidades reais na sua aplicação Web antes dos atacantes.

Não exatamente - depende do tipo de análise. O DAST do Aikido (também chamado de Monitorização de Superfície) não simula cargas maliciosas no seu frontend, mas testa ativamente as suas APIs. Para a análise de API, envia cargas maliciosas controladas para encontrar pontos fracos. Interage com a sua aplicação através de HTTP e APIs, injectando entradas de teste e observando como a sua aplicação responde (comportando-se como um atacante automatizado). O AI Pentesting vai mais longe, executando ataques simulados mais avançados. Esta abordagem dinâmica significa que está a sondar a sua aplicação em tempo real, tal como faria um atacante externo, em vez de se limitar a analisar o código.

É seguro - O DAST do Aikido foi concebido para não causar stress ou avarias no seu site de produção. O scanner evita testes destrutivos; por exemplo, não executa injeção de SQL de força bruta que possa bloquear a sua base de dados. Concentra-se em vulnerabilidades comuns da Web de uma forma suave, para que obtenha cobertura de segurança sem arrastar ou desestabilizar a sua aplicação durante uma análise.

Para a maioria das equipas, recomendamos a execução do scanner DAST da Aikido em pontos finais de teste ou produção, em vez de dentro do seu pipeline CI/CD. O nosso DAST atual foi concebido para analisar aplicações em tempo real e com acesso à Internet, pelo que não há grandes vantagens em executá-lo em CI. A verificação local da DAST (que pode ser executada na CI) está planeada para ser lançada no quarto trimestre e provavelmente estará disponível primeiro para planos empresariais. Até lá, obterá os resultados mais precisos se apontar o scanner para um ambiente que espelhe a produção o mais próximo possível.

O DAST da Aikido concentra-se em problemas que pode detetar de forma fiável nos seus pontos de extremidade em tempo real e virados para a Internet. Isto inclui muitas das 10 principais vulnerabilidades OWASP para APIs, como injeção de SQL, problemas de autenticação e controlo de acesso, configurações inseguras e exposição de pontos finais sensíveis. Pode ver a lista completa e actualizada de verificações aqui: Verificações DAST da Aikido Security. As verificações específicas de front-end estão excluídas, pelo que as conclusões são direcionadas para a segurança do lado do servidor e da API e não para as vulnerabilidades do lado do cliente.

Os exames DAST da Aikido são rápidos - a maioria é concluída em cerca de dois minutos, e raramente mais de quatro. Começará a ver os resultados quase imediatamente após o início da análise, pelo que não ficará à espera. O tempo exato depende do tamanho e da complexidade da sua aplicação, mas o scanner foi concebido para um feedback rápido, para que os programadores possam agir rapidamente.

Sim - o DAST do Aikido pode analisar as suas APIs, mas não descobre automaticamente os pontos finais do seu frontend. Para a análise de API, pode importar uma especificação OpenAPI (gerada a partir do código ou manualmente) ou utilizar o Zen para a deteção de pontos finais. Uma vez configurado, o verificador testará os pontos de extremidade da API (incluindo REST e GraphQL) quanto a vulnerabilidades. Isto significa que não precisa de um scanner de API completamente separado - basta certificar-se de que os seus pontos finais estão definidos para que o Aikido os possa detetar eficazmente.

O DAST da Aikido utiliza um subconjunto de análises seguras do OWASP ZAP e, em seguida, adiciona a sua própria eliminação de ruído e duplicação para que apenas veja resultados relevantes. Obtém uma deteção de nível ZAP sem o ruído, a configuração manual ou a gestão de configurações - foi concebida para ser rápida, de baixa manutenção e fácil de utilizar.

Apenas se pretender efetuar verificações autenticadas. O Aikido não suporta scripts de início de sessão, mas pode fornecer credenciais de autenticação para que possamos executar testes adicionais - por exemplo, verificar os tokens entregues quanto a pontos fracos comuns. Para a verificação de front-end, a principal vantagem é ativar estas verificações adicionais. Pode ativar as regras "autenticadas" nas suas definições aqui: Verificações DAST do Aikido. Se não fornecer credenciais, o scanner apenas verificará os seus pontos de extremidade voltados para o público.

Não - o scanner de front-end DAST do Aikido concentra-se em detetar configurações incorrectas mais fáceis de detetar que podem abrir a sua aplicação Web, ajudando-o a corrigir rapidamente riscos comuns. Para uma cobertura mais profunda - como falhas complexas de lógica comercial ou simulações de ataque mais avançadas - ferramentas como AI Pentesting e API Security scanning são mais adequadas. As análises automatizadas tratam dos problemas quotidianos, enquanto os testes manuais ou avançados ocasionais garantem a deteção das vulnerabilidades mais difíceis de detetar. Em breve, o Aikido irá também expandir a cobertura nestas áreas, trazendo mais testes aprofundados diretamente para a plataforma.