DAST: 7 casos de uso, exemplos, prós e contras

A capacidade do DAST de simular ciberataques reais e expor vulnerabilidades em tempo real o torna um recurso valioso no conjunto de ferramentas de cibersegurança. Como mostra o gráfico, a popularidade do DAST aumentou significativamente nos últimos cinco anos.

Considerando que uma parcela significativa dos ataques de software explora a camada de aplicação. ¹ O foco da DAST em testes externos torna-se ainda mais crucial.

Veja abaixo como o DAST se integra aos pipelines DevSecOps, atende aos requisitos de conformidade e detecta vulnerabilidades em tempo de execução que as ferramentas estáticas não identificam.

Prós e contras do DAST

Como funciona o DAST?

O DAST segue uma sequência repetível cada vez que é executado em uma aplicação alvo.

1. Identificação do alvo: O scanner é direcionado para um URL ou conjunto de endpoints de API. Em ambientes de CI/CD, isso geralmente é configurado uma única vez e, em seguida, acionado automaticamente em cada build.
2. Rastreamento: A ferramenta mapeia a superfície de ataque da aplicação seguindo links, enviando formulários e analisando JavaScript, criando um inventário de todas as entradas e endpoints que consegue alcançar. Os scanners modernos usam um spider AJAX juntamente com o crawler padrão para lidar com aplicações de página única que carregam conteúdo dinamicamente.
3. Simulação de ataque: Para cada entrada descoberta, o scanner dispara payloads de ataque: strings de injeção de SQL, vetores XSS, sequências de path traversal, cabeçalhos malformados e outros extraídos do OWASP Top 10 e além. Três técnicas principais sustentam esta fase:
   • O fuzzing envia dados inesperados ou malformados para provocar erros não tratados.
   • Manipulação de parâmetros, modificação de valores em URLs, cookies e corpos de requisição para testar a validação de entrada.
   • Testes de autenticação que visam a fixação de sessão, a previsão de token e a escalação de privilégios entre funções de usuário.
4. Análise de resposta: O scanner avalia cada resposta em busca de indicadores de uma vulnerabilidade real, como rastreamentos de pilha, mensagens de erro do banco de dados, redirecionamentos para recursos não intencionais ou dados retornados que deveriam ter acesso controlado. Ferramentas que utilizam varredura baseada em provas confirmam a explorabilidade antes de sinalizar um problema, o que reduz falsos positivos.
5. Relatórios: Os resultados são compilados em um relatório classificado por gravidade, com o endpoint afetado, a carga útil que desencadeou o problema e orientações para correção. A maioria dos scanners corporativos envia os resultados diretamente para o Jira, GitHub Issues ou plataformas SIEM, para que as descobertas sejam encaminhadas à equipe correta sem triagem manual.
6. Reteste: Após a implementação de uma correção, o scanner é executado novamente no endpoint anteriormente vulnerável para confirmar se a vulnerabilidade foi corrigida. Essa etapa também serve como evidência documentada para auditorias de conformidade.

Os 7 principais casos de uso do DAST

1-Integração com o Ciclo de Vida de Desenvolvimento

O DAST se encaixa nas fases de teste e homologação do ciclo de vida de desenvolvimento de software, onde os aplicativos estão em execução, mas ainda não chegaram à produção. Nessa fase, as vulnerabilidades são mais baratas de corrigir e não representam risco para o cliente. Em pipelines de CI/CD, as varreduras podem ser acionadas automaticamente a cada build, tornando a segurança uma parte rotineira do processo de lançamento, em vez de uma etapa final.

Exemplo da vida real

Antes da integração, a equipe de segurança realizava verificações manuais que não conseguiam acompanhar o cronograma de lançamentos da Park 'N Fly. Após conectar o Invicti aos seus fluxos de trabalho existentes no Azure DevOps e no Jira, as verificações passaram a ser acionadas automaticamente a cada build, transformando as verificações de segurança de uma revisão trimestral para uma verificação por lançamento. A equipe recuperou o equivalente à carga de trabalho manual de um funcionário em tempo integral. ²

2-Simulação de Ataque no Mundo Real

As ferramentas DAST simulam ataques reais a uma aplicação web, fornecendo uma avaliação prática do seu nível de segurança.

Exemplo da vida real

Em maio de 2023, uma vulnerabilidade de injeção de SQL na plataforma MOVEit Transfer da Progress Software, um aplicativo de transferência gerenciada de arquivos amplamente utilizado, foi explorada antes que o fornecedor tomasse conhecimento dela. A violação comprometeu 11,3 milhões de registros de pacientes da Maximus e afetou dezenas de agências governamentais e empresas em diversos países, incluindo a BBC, a empresa britânica de software de RH Zellis e o governo da Nova Escócia. ³

A Progress Software só tomou conhecimento da vulnerabilidade porque já estava sob ataque ativo. Eles confirmaram a existência da falha, lançaram uma correção e notificaram os clientes no mesmo dia, mas a exploração já havia começado antes da divulgação. ⁴

Um scanner DAST executado contra o aplicativo web da MOVEit em um ambiente de teste teria enviado payloads de injeção SQL para os campos de entrada do aplicativo e sinalizado a resposta anômala do banco de dados — a mesma técnica usada pelos atacantes. Nesse ponto, a correção seria uma tarefa de desenvolvimento. Sem esse teste, a mesma falha permaneceu em um sistema de produção usado por centenas de organizações.

3 - Requisitos de Conformidade e Regulamentação

Regulamentações como PCI DSS, HIPAA e GDPR exigem testes de segurança regulares em aplicações que lidam com dados sensíveis. A palavra-chave é " demonstrar ": os auditores exigem evidências documentadas de que as vulnerabilidades foram encontradas e corrigidas, e não apenas a confirmação de que os testes foram realizados. O DAST produz exatamente isso: os relatórios de varredura mostram quais vulnerabilidades existiam na aplicação em produção, quando foram detectadas e se a correção foi verificada.

• As organizações devem proteger aplicações web públicas através de avaliações periódicas de vulnerabilidades ou de um WAF (Web Application Firewall). O DAST cumpre a opção de avaliação, testando a aplicação implantada contra os vetores de ataque que os auditores procuram, como injeção de SQL, XSS (Cross-Site Scripting), falhas de autenticação e gerando resultados com registro de data e hora, prontos para auditoria.
• As organizações devem executar verificações automatizadas semanais para detectar alterações não autorizadas nos scripts das páginas de pagamento e nos cabeçalhos HTTP. Os relatórios de varredura do DAST auxiliam nesse processo, fornecendo evidências contínuas na camada de aplicação de que o ambiente mais amplo que envolve as páginas de pagamento não foi comprometido.

Exemplo da vida real

O Channel 4, emissora comercial pública do Reino Unido, opera a plataforma de streaming All 4, com 24 milhões de usuários registrados, todos sujeitos aos requisitos de segurança de dados do GDPR. Para demonstrar a conformidade, a equipe de segurança encomendava anteriormente vários testes de penetração externos por projeto. Cada teste apresentava vulnerabilidades, a equipe as corrigia e, em seguida, pagava por um novo teste. O CISO Brian Brackenborough descreveu o custo cumulativo: cada projeto podia passar por vários ciclos, dependendo da complexidade.

Após integrar a plataforma automatizada DAST da Invicti, o Channel 4 passou a realizar varreduras contínuas em marcos fixos do projeto, substituindo o ciclo de reteste por verificação automatizada interna. Os gastos anuais com testes de penetração caíram aproximadamente 60% no primeiro ano e para cerca de 20% do valor original no segundo ano. ⁵

4-Cobertura Abrangente

O DAST testa todas as interfaces que o aplicativo expõe externamente — formulários de login, tokens de sessão, endpoints de API, parâmetros de URL e cabeçalhos HTTP — sem acesso ao código-fonte. Autenticação quebrada, fixação de sessão, referências diretas inseguras a objetos e controles de acesso mal configurados não existem como padrões estáticos no código; eles emergem do comportamento do aplicativo quando um usuário ou um atacante envia entradas específicas.

O DAST abrange endpoints que os desenvolvedores podem não ter exposto intencionalmente. APIs ocultas (shadow APIs), rotas obsoletas que permaneceram ativas após uma alteração de recurso e interfaces administrativas acessíveis pela rede pública não aparecerão em uma revisão de código, mas aparecerão em uma análise do DAST.

5- Monitoramento contínuo

As aplicações não permanecem estáticas após a implantação. Bibliotecas são atualizadas, novos endpoints são adicionados, alterações de configuração são feitas e scripts de terceiros são carregados de domínios externos, qualquer um dos quais pode introduzir uma vulnerabilidade que não existia na última verificação. Testes anuais ou trimestrais não conseguem detectar uma falha introduzida em uma implantação realizada na terça-feira. O DAST, integrado a um pipeline de CI/CD, é executado em cada nova versão, o que significa que a postura de segurança da aplicação é verificada continuamente, em vez de periodicamente.

As dependências de terceiros tornam isso especialmente importante. Ataques à cadeia de suprimentos, nos quais um componente externo confiável é comprometido e usado para injetar comportamento malicioso em aplicações subsequentes, agora figuram como o terceiro maior risco para aplicações web no OWASP Top 10:2025. O DAST detecta esses ataques em tempo de execução, onde o comportamento injetado de fato ocorre, e não no código-fonte, onde a dependência pode parecer inalterada.

Exemplo da vida real

Em junho de 2024, o domínio e o repositório GitHub do Polyfill.js foram adquiridos por um novo proprietário que modificou o script para redirecionar usuários de dispositivos móveis para sites maliciosos. Mais de 100.000 aplicações web carregaram o Polyfill diretamente da CDN, o que significa que uma dependência confiável se tornou silenciosamente um vetor de ataque sem qualquer alteração no código dessas aplicações. As ferramentas DAST sinalizaram o comportamento malicioso logo após ele ser descoberto, identificando quais aplicações estavam carregando o script comprometido e gerando informações úteis para a correção do problema. ⁶

6-Identificação de problemas de tempo de execução

Algumas classes de vulnerabilidade não existem no código-fonte; elas emergem do comportamento de uma aplicação implantada em condições reais. Condições de corrida aparecem quando requisições simultâneas atingem o mesmo recurso. Falhas na lógica de negócios surgem quando um atacante percorre um fluxo de trabalho de múltiplas etapas na ordem errada. A falsificação de requisição do lado do servidor (SSRF) só se manifesta quando a aplicação está ativamente estabelecendo conexões de saída com outros sistemas. Vazamentos de memória, falhas de tempo limite de sessão e desserialização insegura exigem uma aplicação ativa e em execução para serem acionados.

O DAST aborda essas questões interagindo com o aplicativo exatamente como um usuário ou atacante faria, enviando entradas, observando respostas e testando como o sistema se comporta em condições que a análise estática não consegue simular.

7-Complemento a outros métodos de teste

Nenhum método de teste isolado abrange toda a superfície de ataque de uma aplicação moderna. As equipes de segurança normalmente combinam o DAST com:

• O SAST analisa o código-fonte antes da implantação, detectando problemas como segredos embutidos no código, chamadas de função inseguras e concatenações de strings propensas a injeções logo no início do desenvolvimento. Ele não consegue testar o comportamento em tempo de execução.
• O IAST instrumenta a aplicação internamente durante a execução, monitorando o fluxo de dados pelo código em execução. Enquanto o DAST observa o comportamento externo da aplicação, o IAST observa seu comportamento interno durante a mesma requisição; os dois métodos produzem resultados complementares a partir de perspectivas opostas.
• O SCA examina bibliotecas de terceiros e de código aberto em busca de CVEs conhecidas, sinalizando dependências vulneráveis antes que cheguem à produção. O incidente do Polyfill ilustra essa lacuna: o SCA não teria detectado o ataque porque a própria biblioteca não possuía nenhuma CVE no momento em que o domínio que a hospedava foi comprometido. O DAST detectou o comportamento malicioso em tempo de execução que o SCA não conseguiu identificar.
• Os scanners de rede e vulnerabilidade identificam portas abertas, serviços desatualizados e configurações incorretas de infraestrutura nas camadas de host e rede, abaixo do próprio aplicativo.

Limitações que você deve considerar ao usar o DAST

1. Nenhuma visibilidade do código interno

O DAST testa o que a aplicação expõe: endpoints, formulários, cabeçalhos e respostas. Ele não consegue ler o código-fonte, portanto, vulnerabilidades que nunca chegam à superfície por meio de interação externa passam despercebidas. Uma credencial embutida no código do servidor, por exemplo, não aparecerá em uma varredura DAST, a menos que produza uma resposta observável. Para detectar esses problemas, é necessário realizar uma análise SAST ou revisão de código.

2. Descoberta em Estágio Avançado

O DAST requer uma aplicação em execução, o que significa que não pode ser usado até a fase de testes ou de homologação. Uma vulnerabilidade introduzida no início do desenvolvimento pode sobreviver por vários ciclos de compilação antes de ser detectada por uma varredura do DAST. Quanto mais tarde uma vulnerabilidade for encontrada, mais código terá sido construído sobre ela, aumentando tanto o custo de correção quanto o risco de que uma correção introduza novos problemas.

3. Falsos Positivos e Falsos Negativos

As ferramentas DAST inferem vulnerabilidades a partir das respostas da aplicação, o que significa que podem sinalizar comportamentos benignos como vulnerabilidades (falso positivo) ou falhar em detectar uma vulnerabilidade que requer uma sequência específica de entradas (falso negativo). Falsos positivos desperdiçam tempo de correção; falsos negativos criam uma falsa sensação de segurança. As ferramentas modernas reduzem os falsos positivos por meio de varreduras baseadas em provas, que confirmam se uma vulnerabilidade é explorável antes de relatá-la, mas ainda existem lacunas de cobertura, principalmente em fluxos de trabalho complexos e autenticados.

4. Falhas na Lógica de Negócios

O DAST identifica vulnerabilidades que produzem anomalias detectáveis, como injeção de SQL, XSS e bypass de autenticação. Ele não consegue detectar falhas em que o aplicativo se comporta exatamente como programado, mas a lógica em si é insegura. A partir de 2026, a Autorização em Nível de Objeto Quebrada (BOLA) e a Autorização em Nível de Função Quebrada (BFLA) são os principais riscos de segurança de API; ambos envolvem o aplicativo processando corretamente uma solicitação que deveria ter rejeitado. Nenhum scanner automatizado pode determinar que uma regra de negócio está errada, apenas que ela foi violada.

5. Risco de Varredura de Produção

O DAST envia ativamente payloads de ataque para um aplicativo em produção. Em ambientes de teste, esse é o comportamento esperado. Em produção, a mesma varredura pode desencadear estados de erro, corromper dados de teste, bloquear contas ou gerar carga que degrada o desempenho para usuários reais. A maioria das equipes restringe varreduras completas do DAST a ambientes de pré-produção e utiliza monitoramento passivo mais leve em produção, aceitando uma lacuna de cobertura em troca de segurança operacional.

6. Sem localização em nível de código

O DAST identifica a existência de uma vulnerabilidade em um determinado endpoint, mas não consegue apontar a linha de código responsável. Um desenvolvedor que recebe uma descoberta do DAST precisa reproduzir o problema, rastrear a requisição através da pilha de aplicações e localizar a origem manualmente. Integrar a saída do DAST com os resultados do SAST ou usar o IAST, que instrumenta a aplicação internamente, pode reduzir essa lacuna, correlacionando a descoberta em tempo de execução com a localização do código.

7. Lacunas de cobertura em arquiteturas de aplicações modernas

O DAST rastreia uma aplicação seguindo links e enviando formulários. Aplicações de página única construídas em React, Angular ou Vue renderizam conteúdo dinamicamente por meio de JavaScript após o carregamento inicial da página, o que os rastreadores tradicionais não conseguem explorar completamente. APIs que exigem tokens de autenticação específicos, fluxos de trabalho com várias etapas ou formatos de entrada não padronizados também podem não ser testadas, a menos que a ferramenta DAST seja explicitamente configurada para elas. A cobertura é tão completa quanto a capacidade do scanner de navegar pela aplicação.

Perguntas frequentes

Links de referência

1.

IBM 2026 X-Force Threat Index: AI-Driven Attacks are Escalating as Basic Security Gaps Leave Enterprises Exposed

2.

Park ‘N Fly Case Study

Invicti

3.

SQL Injection: An Evergreen Threat with Real-World Consequences - sitewall.net

4.

SQL Injection: An Evergreen Threat with Real-World Consequences - sitewall.net

5.

Channel 4 Case Study

Invicti

6.

Polyfill Supply Chain Attack: What To Do When Your CDN Goes Evil

Cem Dilmegani

Analista Principal

Siga-nos

Cem é o analista principal da AIMultiple desde 2017. A AIMultiple fornece informações para centenas de milhares de empresas (segundo o SimilarWeb), incluindo 55% das empresas da Fortune 500, todos os meses. O trabalho de Cem foi citado por importantes publicações globais, como Business Insider, Forbes e Washington Post, além de empresas globais como Deloitte e HPE, ONGs como o Fórum Econômico Mundial e organizações supranacionais como a Comissão Europeia. Você pode ver mais empresas e recursos renomados que mencionaram a AIMultiple. Ao longo de sua carreira, Cem atuou como consultor de tecnologia, comprador de tecnologia e empreendedor na área. Ele assessorou empresas em suas decisões tecnológicas na McKinsey & Company e na Altman Solon por mais de uma década. Também publicou um relatório da McKinsey sobre digitalização. Liderou a estratégia de tecnologia e a área de compras de uma empresa de telecomunicações, reportando-se diretamente ao CEO. Além disso, liderou o crescimento comercial da empresa de tecnologia avançada Hypatos, que atingiu uma receita recorrente anual de sete dígitos e uma avaliação de nove dígitos, partindo de zero, em apenas dois anos. O trabalho de Cem no Hypatos foi noticiado por importantes publicações de tecnologia, como TechCrunch e Business Insider. Cem participa regularmente como palestrante em conferências internacionais de tecnologia. Ele se formou em engenharia da computação pela Universidade Bogazici e possui um MBA pela Columbia Business School.

Ver perfil completo

Pesquisado por

Sena Sezer

Analista do setor

Siga-nos

Sena é analista do setor na AIMultiple. Ela concluiu sua graduação na Universidade Bogazici.

Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

Nome

Endereço de email

Comentário

0/450

Postar comentário