Dynamické testování bezpečnosti aplikací (Dynamic Application Security Testing) je již dvě desetiletí nedílnou součástí programů zabezpečení aplikací. Nasměrujte skener na běžící aplikaci, nechte ho procházet a fuzzovat, třídit výstupy. Je to levné, opakovatelné a funguje to – pro specifickou třídu zranitelností v specifické třídě aplikací.
Problém je v tom, že aplikace, které stavíme v roce 2026, nevypadají jako aplikace, pro které bylo DAST navrženo. Single-page aplikace (SPA) vykreslují vše na straně klienta. API rozhraní převyšují počet webových stránek v poměru deset ku jedné. Autentizace znamená toky OAuth, krátkodobé JWT a MFA – nikoli přihlašovací formulář s polem pro uživatelské jméno. A zranitelnosti, které skutečně způsobují narušení bezpečnosti, jsou stále častěji chyby v obchodní logice: mezery v autorizaci, rozbité pracovní postupy, zneužití legitimní funkcionality. Nic z toho se neukáže, když fuzzujete parametry se seznamem payloadů.
Tento článek je upřímným zhodnocením: co DAST stále dělá dobře, kde skutečně selhává, a praktické srovnání alternativ – SAST, IAST, manuální Penetration Testing, PTaaS a autonomní Penetration Testing řízené umělou inteligencí.
Co DAST stále dělá dobře
Buďme nejprve spravedliví k dosavadnímu řešení. DAST má skutečné, trvalé silné stránky, které žádná z alternativ plně nenahrazuje:
Testuje běžící systém, nikoli kód. DAST nachází chybné konfigurace – chybějící bezpečnostní hlavičky, detailní chybové stránky, odhalené administrátorské panely, slabé TLS – které se nikdy neobjeví ve zdrojovém kódu. Nástroj SAST vám nikdy neřekne, že vaše stagingové prostředí poskytuje debugovací endpoint internetu.
Je nezávislé na jazyce. Black-box skeneru je jedno, zda je váš backend v Pythonu, Javě, Go, nebo jde o 15 let starý PHP monolit bez testovacího pokrytí. Pro heterogenní prostředí a aplikace třetích stran, u kterých nemáte přístup ke zdrojovému kódu, je DAST někdy jedinou možností.
Produkuje zneužitelné důkazy. Když nástroj DAST nahlásí reflektované XSS s funkčním payloadem, není pochyb o dosažitelnosti. Porovnejte to se SAST, kde velká část nálezů jsou teoretické cesty, které žádný útočník nemůže skutečně spustit.
Pokud jste v této kategorii noví, náš praktický úvod do co je DAST a jak funguje pokrývá základy do hloubky.
Kde DAST selhává
Autentizace a správa relací
Většina selhání DAST začíná ještě před samotným skenováním: skener se nemůže přihlásit. Moderní autentizace – přesměrování SSO, MFA výzvy, krátkodobé tokeny, které vyprší uprostřed skenování, CSRF tokeny, které se mění s každým požadavkem – běžně maří zaznamenaná přihlašovací makra. Výsledkem je sken, který tiše testuje pouze neautentizovanou část vaší aplikace, což je typicky 10 % vaší aplikace s nejméně zajímavými daty. Týmy to zjistí o měsíce později, když si uvědomí, že každá „čistá“ zpráva skenovala přihlašovací stránku.
Vícekroková obchodní logika
Skener fuzzuje jednotlivé požadavky. Nerozumí tomu, že váš platební proces má čtyři kroky, že krok tři nastavuje cenu a že opětovné přehrání kroku čtyři s upravenou celkovou částkou košíku potvrdí objednávku za 0,01 $. Broken object-level authorisation (BOLA), obcházení pracovních postupů, race conditions v platební logice, eskalace oprávnění prostřednictvím kombinací parametrů – to jsou zranitelnosti s největším dopadem ve skutečných datech o narušení bezpečnosti, a klasické DAST je vůči všem těmto zranitelnostem strukturálně slepé, protože jejich nalezení vyžaduje pochopení záměru, nikoli pouze syntaxe.
Pokrytí API a SPA
Objevování založené na crawlerech předpokládá existenci odkazů k procházení. Jednostránkové aplikace vykreslují cesty v JavaScriptu; REST a GraphQL API nemají vůbec žádné uživatelské rozhraní. Bez specifikace OpenAPI, záznamu HAR nebo proxy provozu, který by jej „nakrmil“, nástroj DAST jednoduše neuvidí většinu útočné plochy moderní aplikace. I se specifikací se skenery potýkají se sekvencováním požadavků – vytvořením zdroje, zachycením jeho ID a následným testováním koncových bodů, které s ním pracují.
False Positives a únava z upozornění
Každý DAST tým zná ten rituál: skenování se dokončí, někdo stráví den tříděním a 60-80 % nálezů je šum – „zranitelnosti“ za nedosažitelnými stavy, duplicitní nálezy napříč parametry, informační položky nafouknuté na úroveň Medium. Náklady na třídění často převyšují hodnotu skenování a po dostatečném počtu cyklů týmy přestanou číst zprávy. Tak se skutečné nálezy dostanou do produkce uvnitř zdi šumu.
Rychlost vs. hloubka v CI/CD
Důkladné DAST skenování netriviální aplikace trvá hodiny. Rozpočet CI pipeline je v řádu minut. Týmy proto v pipeline spouštějí „základní“ skenování – pasivní kontroly, žádné aktivní útoky – a získávají falešný pocit pokrytí. Hloubkové skenování běží týdně proti stagingu, něco najde, a v té době je problematický commit už pět vydání starý. Problém integrace do pipeline podrobně rozebíráme v našem průvodci CI/CD Penetration Testing.
DAST vs. SAST vs. IAST vs. AI Autonomous Pentesting
Zde je srovnání hlavních přístupů z hlediska dimenzí, které jsou důležité při výběru nástrojů pro pipeline:
| Dimenze | DAST | SAST | IAST | Autonomní Penetration Testing s AI |
|---|---|---|---|---|
| Co analyzuje | Běžící aplikace, black-box (HTTP vstup, HTTP výstup) | Zdrojový kód / bytecode, bez běhového prostředí | Běžící aplikace, instrumentovaná zevnitř (agent v běhovém prostředí) | Běžící aplikace, black/grey-box, řízená agenty AI, kteří plánují útoky |
| Chyby obchodní logiky (BOLA, obcházení workflow) | Slepé | Slepé | Většinou slepé | Klíčová síla – agenti rozumí vícekrokovým tokům a záměrům |
| Moderní autentizace (SSO, MFA, JWT) | Časté selhání přerušující skenování | N/A (bez běhového prostředí) | Zpracováno (běží uvnitř aplikace) | Zpracováno – agenti dokončují přihlašovací toky jako lidský tester |
| Pokrytí API / SPA | Slabé bez specifikací/HAR seedingu | Dobré (na úrovni kódu) | Dobré, omezené na procvičené cesty | Silné – adaptivně prozkoumává API a SPA |
| Míra False Positives | Střední až vysoká | Vysoká (teoretické cesty) | Nízká (potvrzeno za běhu) | Nízká – zjištění jsou ověřena skutečnou exploatací |
| Vhodnost pro "shift-left" (CI/CD) | Pomalé plné skeny; slabý režim baseline | Vynikající – běží při každém commitu | Dobré – využívá stávající testy | Dobré – spouští se na vydání nebo podle plánu, hodiny namísto týdnů |
| Omezení jazyka/technologického stacku | Žádné | Vyžadována podpora pro každý jazyk | Agent musí podporovat vaše běhové prostředí (JVM, .NET, Node…) | Žádné (testuje přes HTTP jako útočník) |
| Typický cenový model | 5K–30K $/rok na aplikaci (komerční) | Licencování na uživatele nebo na repozitář | Prémiový doplněk, agenti na aplikaci | Předplatné, např. Penetrify od 100–5 000 $/měsíc |
Vzor, který stojí za povšimnutí: DAST, SAST a IAST jsou v podstatě všechny vyhledávače vzorů. Liší se v tom, kam se dívají, ale žádný z nich neuvažuje o tom, co by vaše aplikace měla dělat. To je mezera, kterou vždy vyplňoval manuální Penetration Testing – a mezera, kterou nyní nepřetržitě vyplňuje autonomní testování s AI.
Alternativa 1: SAST – Posun zcela doleva
Statická analýza zkoumá zdrojový kód, aniž by jej spouštěla, což znamená, že může běžet při každém pull requestu během sekund až minut a ukázat na přesnou zranitelnou řádku. Pro chyby typu injection, napevno zakódovaná tajemství, nebezpečnou deserializaci a nezabezpečené použití kryptografie SAST zachytí problémy dříve, než jsou vůbec nasazeny – což je nejlevnější možný čas na jejich opravu.
Jeho slabiny zrcadlí silné stránky DAST: žádný kontext běhu znamená vysokou míru False Positives (cesta s poškozenými daty, která je v praxi nedosažitelná, je stále označena), žádný pohled na problémy s konfigurací nebo nasazením a nulový vhled do toho, jak komponenty interagují v produkci. SAST je doplňkem dynamického testování, nikoli náhradou – používejte jej jako rychlou bránu pro každý commit a přijměte, že vám říká o kvalitě kódu, nikoli o zneužitelnosti.
Alternativa 2: IAST – Instrumentace namísto odvozování
Interaktivní testování zabezpečení aplikací umístí agenta do běhového prostředí vaší aplikace a sleduje tok dat, zatímco je aplikace používána – vaší QA sadou, vašimi E2E testy nebo DAST skenerem. Protože vidí jak příchozí požadavek, tak zranitelný sink, IAST potvrzuje nálezy za běhu s velmi malým počtem False Positives a funguje za jakoukoli autentizací, kterou vaše testy zvládnou.
Háčky jsou však skutečné. IAST testuje pouze ty cesty kódu, které jsou skutečně vykonány – jeho pokrytí je přesně tak dobré jako vaše testovací sada, což pro většinu týmů znamená „nic moc“. Agent musí podporovat vaše specifické běhové prostředí, přidává režii, kterou nebudete chtít v produkci, a komerční IAST je obvykle cenově zařazeno jako prémiový doplněk. IAST je vynikající pro týmy s vyzrálým pokrytím E2E testů na podporovaných technologiích; řeší problém DAST s False Positives, aniž by řešilo jeho slepotu vůči obchodní logice.
Alternativa 3: Manuální Penetration Testing – zlatý standard, ročně
Zkušený lidský tester zůstává nejdůkladnějším dostupným hodnocením. Lidé spojují nálezy nízké závažnosti do kritických exploitů, rozumí obchodnímu kontextu („co se stane, když použiji tento slevový kód dvakrát?“) a vytvářejí zprávy, které auditoři bez otázek přijímají. Pro milníky shody – SOC 2, ISO 27001, PCI DSS – je roční manuální test často nezbytný.
Omezení jsou ekonomická, nikoli technická. Kvalitní zakázka se pohybuje v rozmezí 5 000–50 000 $, trvá týdny naplánovat a 1–3 týdny provést a testuje snímek: v okamžiku doručení zprávy ji vaše další nasazení začne zneplatňovat. Pokud nasazujete týdně a testujete ročně, jste nechráněni zhruba 51 týdnů v roce. Podrobně rozebíráme celou ekonomiku v našem srovnání nákladů na Penetration Testing.
Alternativa 4: PTaaS – Lidé na platformě
Penetration Testing jako služba zahrnuje lidské testery do modelu dodávky SaaS: nálezy proudí do portálu, jakmile jsou objeveny, namísto aby dorazily v PDF o šest týdnů později, opětovné testování je součástí a zakázky se spouštějí během dnů, nikoli měsíců. Pro organizace, které chtějí testování vedené lidmi s moderní integrací pracovních postupů – Jira tikety, Slack upozornění, API přístup k nálezům – je PTaaS skutečným vylepšením oproti tradičním konzultačním firmám.
PTaaS však stále provádějí lidé, takže zdědí lidskou ekonomiku: ceny za zakázku, které obvykle začínají kolem 5 000–10 000 $, plánování závislé na dostupnosti testerů a pokrytí, které je stále periodické. PTaaS mění způsob, jakým je penetrační testování dodáváno, nikoli to, jak často si ho můžete dovolit.
Alternativa 5: Autonomní Penetration Testing s umělou inteligencí
Nejnovější kategorie – a ta, ve které působí Penetrify – využívá agenty s umělou inteligencí k tomu, co dělají lidští Penetration testeři: prozkoumávají aplikaci, formulují hypotézy o slabinách, pokoušejí se o skutečnou exploataci a ověřují zjištění před jejich nahlášením. To se kategoricky liší od DAST. Skener přehrává známé payloady proti objeveným vstupům; autonomní agent čte odpověď API, usoudí, že order_id vypadá sekvenčně, načte sousední ID, rozpozná data jiného nájemce v odpovědi a nahlásí potvrzenou BOLA s kompletním řetězcem reprodukce.
Tento krok uvažování je přesně to, co uzavírá největší mezery DAST:
Autentizační toky: agenti dokončují přesměrování OAuth, zpracovávají obnovení tokenů a udržují autentizované relace tak, jak to dělá lidský tester – žádná křehká přihlašovací makra. Obchodní logika: agenti rozumí vícestupňovým pracovním postupům a testují, co se stane, když jsou kroky přeskočeny, přeřazeny nebo přehrány. API a SPA: agenti prozkoumávají adaptivně namísto toho, aby se spoléhali na to, že crawler najde atributy href. False Positives: zjištění jsou ověřena skutečnou exploatací, takže zpráva obsahuje důkazy, nikoli domněnky.
Protože v každém zapojení není zapojen člověk, ekonomika se zcela mění: testy běží v hodinách, na vyžádání nebo s každou verzí, za předplatné ceny – Penetrify začíná na 100 $/měsíc a dosahuje až 5 000 $/měsíc, oproti 5 000–50 000 $ za manuální zapojení. Díky tomu se "Penetration Test každé verze" stává realistickou položkou namísto fantazie. Pro hlubší pohled na to, jak agenti fungují proti skutečným cílům, viz AI Penetration Testing pro webové aplikace.
I zde platí upřímná omezení: autonomní testování nenahrazuje roční lidský test vyžadovaný pro dodržování předpisů (zatím – přijetí auditory se vyvíjí), a špičkový lidský specialista stále přemýšlí lépe než jakákoli automatizace u nového, hluboce přizpůsobeného systému. Správný mentální model je, že autonomní testování s umělou inteligencí nahrazuje mezeru v frekvenci, nikoli lidský strop.
Výběr správné kombinace pro váš pipeline
Nikdo vážně neprovozuje pouze jednu z těchto metod. Praktická otázka zní, která kombinace vyhovuje vaší kadenci vydávání a rozpočtu:
Používejte DAST, když: máte starší aplikace renderované na serveru, software třetích stran, který nemůžete instrumentovat, nebo jazyk předpisů, který výslovně zmiňuje dynamické skenování. Vyladěná DAST základní linie je levné pojištění proti posunu konfigurace. Pokud hodnotíte konkrétní skenery, naše shrnutí nejlepších DAST nástrojů pro rok 2026 porovnává přední možnosti.
Přidejte SAST jako bránu pro každý commit – je to jediný přístup dostatečně rychlý na to, aby zablokoval merge.
Zvažte IAST, pokud provozujete podporovaný stack (JVM a .NET mají nejvyspělejší agenty) a již máte silné pokrytí E2E testy, které ho pohání.
Udržujte roční manuální test pro dodržování předpisů a pro hluboké, kreativní posouzení vašich klíčových systémů.
Přidejte autonomní AI Penetration Testing k pokrytí mezery, kterou vše výše uvedené ponechává otevřenou: průběžné, exploatací ověřené testování autentizace, autorizace a obchodní logiky s každou verzí, za cenu, která se škáluje s předplatným namísto prohlášení o práci.
Závěr
DAST není mrtvý – jen už nestačí. Skenery založené na porovnávání vzorů se nedokážou přihlásit do moderních aplikací, nevidí moderní API a nedokážou uvažovat o obchodní logice, kde dochází ke skutečným průnikům. AI agenti Penetrify testují vaši aplikaci způsobem, jakým by to udělal útočník – dokončují autentizační toky, řetězí vícestupňové exploity a ověřují každé zjištění – při každém vydání, od 100 $/měsíc namísto 5 000–50 000 $ za zakázku. Spusťte svůj první autonomní pentest ještě dnes a porovnejte zjištění s vaší poslední zprávou DAST.