DAST (Analyse dynamique)
Définition
Dynamic Application Security Testing : test de sécurité sur une application en cours d'exécution, simulant des attaques depuis l'extérieur (comme un scanner de vulnérabilités web). Outils : OWASP ZAP, Burp Suite, Nuclei.
Pourquoi c'est important
Le DAST complète le SAST en testant l'application dans son environnement réel d'exécution. Il détecte les vulnérabilités qui n'apparaissent que runtime (mauvaise configuration, headers manquants).
Comment l'enseigner
Lancez OWASP ZAP en mode proxy contre une application de démo et montrez les vulnérabilités détectées en temps réel. Les étudiants visualisent les requêtes et les réponses exploitables.
Idée d'exercice
Scan et exploitation : lancez ZAP contre DVWA, analysez le rapport automatique, puis exploitez manuellement 3 vulnérabilités trouvées pour confirmer les résultats du scanner.
Erreur courante en formation
Utiliser le DAST uniquement en mode « full scan automatique » sans comprendre les résultats : les étudiants doivent savoir vérifier manuellement chaque finding.
Questions fréquentes
Qu'est-ce que le DAST (Analyse dynamique) en cybersécurité ?
Dynamic Application Security Testing : test de sécurité sur une application en cours d'exécution, simulant des attaques depuis l'extérieur (comme un scanner de vulnérabilités web). Outils : OWASP ZAP, Burp Suite, Nuclei.
Comment enseigner le DAST (Analyse dynamique) à des étudiants ?
Lancez OWASP ZAP en mode proxy contre une application de démo et montrez les vulnérabilités détectées en temps réel. Les étudiants visualisent les requêtes et les réponses exploitables. Scan et exploitation : lancez ZAP contre DVWA, analysez le rapport automatique, puis exploitez manuellement 3 vulnérabilités trouvées pour confirmer les résultats du scanner.
Pourquoi DAST (Analyse dynamique) est-il important en formation cybersécurité ?
Le DAST complète le SAST en testant l'application dans son environnement réel d'exécution. Il détecte les vulnérabilités qui n'apparaissent que runtime (mauvaise configuration, headers manquants).