DAST (Dynamic Application Security Testing)

Le DAST (Dynamic Application Security Testing) consiste à tester la sécurité d'une application en l'attaquant pendant son exécution, en boîte noire (sans accès au code source), comme le ferait un attaquant externe. Le DAST envoie des requêtes malveillantes (injections, payloads XSS, traversal, etc.) et analyse les réponses pour détecter des vulnérabilités exploitables.

Contrairement au SAST (statique, sur le code), le DAST teste l'application réelle dans son environnement (runtime, config, dépendances déployées), ce qui révèle des vulnérabilités liées à l'environnement (CSP manquante, headers de sécurité, gestion de session, configuration server). Limites : ne couvre que les chemins atteints par les tests, lent, peut générer du trafic gênant en prod.

Les outils DAST : OWASP ZAP (open source, leader), Burp Suite (Pro pour pentest manuel, Enterprise pour scan automatisé), Acunetix, Netsparker, Nuclei (templates communautaires), GitLab DAST (intégré), AWS Inspector. Pour les API : Postman + Newman, Schemathesis (fuzzing OpenAPI). DAST + SAST + SCA forment l'AppSec moderne. Compétence centrale DevSecOps testée dans CySA+, OSCP.