O teste DAST simula as ações de um agente malicioso tentando invadir seu aplicativo remotamente. O DAST verifica aplicativos de software em tempo real contra as principais fontes de vulnerabilidade, como o OWASP Top 10 ou SANS/CWE 25, para encontrar falhas de segurança ou vulnerabilidades abertas.
DAST é uma forma de teste de caixa fechada, que estimula a perspectiva de um atacante externo. Assume que o testador não conhece as funções internas do aplicativo. Ele pode detectar vulnerabilidades de segurança que o SAST não pode, como aquelas que aparecem apenas durante o tempo de execução do programa.
Os testadores precisam interagir com a ferramenta de DAST, fornecer entradas, verificar saídas e simular outras ações típicas das interações do usuário. Esses testes ajudam a garantir que o aplicativo não seja suscetível a ataques da web, como script entre sites (XXS) ou injeção de SQL.