DAST (Dynamic Application Security Testing) prüft laufende Webanwendungen auf Sicherheitslücken, indem es reale Angriffe simuliert. Anders als statische Analyse (SAST) arbeitet DAST ohne Zugang zum Quellcode und testet die Anwendung aus der Perspektive eines Angreifers.
Typische Prüfpunkte sind SQL-Injection, Cross-Site-Scripting (XSS), unsichere Header und fehlerhafte Authentifizierung. DAST-Werkzeuge wie OWASP ZAP oder Burp Suite lassen sich in CI/CD-Pipelines integrieren, um bei jedem Deployment automatisch zu scannen. Da DAST nur zur Laufzeit funktioniert, ergänzt es SAST und SCA zu einer vollständigen Application-Security-Strategie.