Dynamisk s?kerhetstestning av applikationer (DAST) ?r en process d?r man analyserar en webbapplikation via frontend f?r att hitta s?rbarheter genom simulerade attacker. Denna typ av metod utv?rderar applikationen "utifr?n och in" genom att attackera en applikation p? samma s?tt som en illvillig anv?ndare skulle g?ra. Efter att en DAST -skanner har utf?rt dessa attacker letar den efter resultat som inte ing?r i den f?rv?ntade resultatupps?ttningen och identifierar s?kerhetsproblem.
Utveckling och testning av applikationer forts?tter att vara den mest utmanande s?kerhetsprocessen f?r organisationer, enligt IT-s?kerhetsexperter. Utvecklare beh?ver l?sningar som hj?lper dem att skapa s?ker kod, och det ?r h?r AppSec-verktygen (Application Security) kommer in i bilden.
AppSec ?r en disciplin med processer, verktyg och metoder som syftar till att skydda applikationer fr?n hot genom hela applikationens livscykel.
Det finns m?nga s?tt att testa applikationss?kerhet, bland annat:
DAST ?r viktigt eftersom utvecklare inte beh?ver f?rlita sig enbart p? sin egen kunskap n?r de bygger applikationer. Genom att genomf?ra DAST under SDLC kan du uppt?cka s?rbarheter i en applikation innan den distribueras till allm?nheten. Om dessa s?rbarheter inte ?tg?rdas och appen distribueras som s?dan kan det leda till ett dataintr?ng, vilket kan leda till stora ekonomiska f?rluster och skada ditt varum?rkes rykte. Det m?nskliga felet kommer oundvikligen att spela en roll n?gon g?ng under livscykeln f?r programvaruutveckling (SDLC), och ju tidigare en s?rbarhet uppt?cks under SDLC, desto billigare ?r den att ?tg?rda.
N?r DAST ing?r som en del av CI/CD-pipelinen (Continuous Integration/Continuous Development) kallas detta f?r "Secure DevOps" eller "DevSecOps".
En DAST -skanner s?ker efter s?rbarheter i en applikation som k?rs och skickar sedan automatiska varningar om den hittar brister som m?jligg?r attacker som , XSS (Cross-Site Scripting) med mera. Eftersom DAST -verktyg ?r utrustade f?r att fungera i en dynamisk milj? kan de uppt?cka brister i k?rtiden som SAST -verktyg inte kan identifiera.
F?r att ta en byggnad som exempel kan en DAST scanner liknas vid en s?kerhetsvakt. Men i st?llet f?r att bara se till att d?rrar och f?nster ?r l?sta g?r vakten ett steg l?ngre genom att f?rs?ka bryta sig in i byggnaden rent fysiskt. Vakten kan f?rs?ka dyrka upp l?sen p? d?rrarna eller krossa f?nster. Efter att ha avslutat unders?kningen kan vakten rapportera tillbaka till byggnadschefen och ge en f?rklaring till hur han lyckades bryta sig in i byggnaden. En DAST -skanner kan ses p? samma s?tt - den f?rs?ker aktivt hitta s?rbarheter i en k?rmilj? s? att DevOps-teamet vet var och hur de ska ?tg?rda dem.好色先生TV? Fortify? WebInspect tillhandah?ller automatiserad dynamisk s?kerhetstestning av applikationer s? att du kan skanna och ?tg?rda s?rbarheter i webbapplikationer som kan utnyttjas.
Vanligtvis g?rs DAST efter produktion eftersom den emulerar attacker p? en applikation som k?rs; men genom att fatta beslutet att "skifta DAST v?nster" (flytta DAST tidigare i utvecklingsprocessen) kan du uppt?cka s?rbarheter tidigare, vilket sparar tid och pengar. Fortify WebInspect inneh?ller f?rbyggda skanningspolicyer som balanserar behovet av hastighet med dina organisatoriska krav.
Fortify WebInspect inneh?ller ocks? en funktion f?r inkrementell skanning, som g?r att du snabbt kan bed?ma s?rbarheter i endast de delar av programmet som har ?ndrats.
Fortify WebInspect l?ter dig g?ra det:
DAST angriper programmet "utifr?n och in" genom att angripa ett program som en illasinnad anv?ndare skulle g?ra. N?r en DAST -skanner har utf?rt dessa attacker letar den efter resultat som inte ing?r i den f?rv?ntade resultatupps?ttningen och identifierar s?kerhetsproblem.
SASTanalyserar ? andra sidan statiska milj?er, det vill s?ga k?llkoden till en applikation. Man tittar p? applikationen fr?n "insidan och ut" och letar efter s?rbarheter i koden.
F?r att maximera styrkan i din s?kerhetsst?llning ?r det en bra idé att anv?nda b?de SAST och DAST. Med denna enhetliga taxonomi f?r olika testmetoder f?r du en fullst?ndig bild av s?rbarheter.
Vi f?rb?ttrar din SDLC med Dynamic Application Security Testing (DAST). Fortify WebInspect tillhandah?ller den teknik och rapportering du beh?ver f?r att s?kra och analysera dina applikationer. Detta och andra verktyg fr?n 好色先生TV ?verbryggar klyftan mellan befintliga och nya tekniker - vilket inneb?r att du kan innovera och leverera appar snabbare, med mindre risk, i kappl?pningen mot digital omvandling.
Fortify erbjuder de mest omfattande teknikerna f?r statisk och dynamisk testning av applikationss?kerhet, tillsammans med ?vervakning och skydd av applikationer under k?rning, med st?d av branschledande s?kerhetsforskning.
Identifiera s?rbarheter i distribuerade webbapplikationer och -tj?nster
L?s upp s?kerhetstestning, s?rbarhetshantering samt skr?ddarsydd expertis och support
Smartare, enklare skydd