DashSec est une plateforme de tests de pénétration alimentée par l'IA qui aide les équipes d'ingénierie et de sécurité à effectuer des tests de sécurité continus et validés sur leurs applications web et API. Elle combine un plan de contrôle basé sur le cloud avec un agent en réseau pour réaliser des tests de pénétration par étapes et fournir des rapports professionnels étayés par des preuves.
DashSec est conçu pour les équipes qui ont besoin de tester plus fréquemment que ce que permettent les engagements traditionnels de tests de pénétration annuels, sans les contraintes de planification et les coûts liés à l'embauche de consultants externes. Il est particulièrement adapté aux équipes d'ingénierie des startups et du marché intermédiaire, aux ingénieurs en sécurité gérant des programmes de sécurité des applications, et aux équipes de développement responsables de la sécurisation de leurs propres applications.
La plateforme déploie un agent conteneurisé à l'intérieur du réseau du client, lui permettant de tester des applications internes et des API privées que les outils externes ne peuvent atteindre. Les tests suivent un flux de travail en quatre étapes où chaque étape s'appuie sur les découvertes de la précédente :
Découverte de l'authentification - cartographie des flux de connexion, configurations OAuth, gestion des JWT, gestion des sessions et mécanismes d'authentification multi-facteurs pour comprendre comment l'application gère l'accès
Reconnaissance - identifie la pile technologique, découvre les points d'accès et les routes API, et cartographie la surface d'attaque de l'application
Exploitation - utilise sa compréhension de l'authentification de l'application, de la pile technologique et de la surface d'attaque pour sélectionner et exécuter des vecteurs d'attaque pertinents. Plutôt que de réaliser un ensemble fixe de vérifications, il peut tenter tout type de vulnérabilité connue, des problèmes courants comme l'injection SQL et le XSS aux attaques plus subtiles comme les failles de logique métier et les chemins d'exploitation en chaîne
Rapport - synthétise les découvertes dans des rapports structurés qui incluent un résumé exécutif, des vulnérabilités confirmées avec preuve d'exploitation, des évaluations de gravité et des conseils de remédiation exploitables
Chaque vulnérabilité signalée inclut des preuves démontrant qu'elle a été exploitée avec succès, plutôt que d'être signalée uniquement sur la base de signatures ou d'heuristiques. Les rapports sont générés à la fois dans un format intégré à l'application et sous forme de PDF téléchargeables adaptés au partage avec les équipes d'ingénierie, la direction et les auditeurs.
DashSec utilise une IA agentique pour raisonner sur les informations découvertes et adapter sa stratégie de test au fur et à mesure qu'elle progresse à travers chaque étape. Cette approche permet à la plateforme de chaîner les découvertes et d'identifier les vulnérabilités nécessitant des chemins d'exploitation en plusieurs étapes, plutôt que de tester chaque point d'accès isolément.
Les équipes gèrent leurs cibles, agents, réseaux et historique des tests via l'application web DashSec. Pendant un test, les utilisateurs peuvent suivre en temps réel l'exécution des commandes par la plateforme, l'analyse des réponses et le raisonnement sur ce qu'il faut essayer ensuite. Les journaux d'activité étape par étape et les rapports actuels et historiques sont accessibles depuis l'application à tout moment.
