什么是动态应用程序安全测试 (DAST)?
概述
动态应用程序安全测试 (DAST动态应用程序安全测试(Dynamic Application Security Testing)是通过前端分析网络应用程序,通过模拟攻击发现漏洞的过程。这种方法通过像恶意用户一样攻击应用程序,从 "外部 "对应用程序进行评估。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。
动态应用程序安全测试 (DAST)
优点顿础厂罢
- 独立于应用程序
- 立即发现可被利用的漏洞
- 无需访问源代码
缺点顿础厂罢
- 无法找到代码中漏洞的确切位置
- 解读报告需要安全知识
- 测试耗时
IT 安全专业人士认为,应用程序开发和测试仍然是公司最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码,而这正是应用安全(AppSec)工具发挥作用的地方。
AppSec 是一门流程、工具和实践的学科,旨在保护应用程序在整个应用生命周期中免受威胁。
测试应用程序安全性的方法有很多,包括
- 静态应用程序安全测试 (SAST)
- 动态应用程序安全测试 (DAST)
- 移动应用安全测试 (MAST)
- 交互式应用程序安全测试 (IAST)
DAST 为何重要?
DAST 之所以重要,是因为开发人员在构建应用程序时不必完全依赖自己的知识。通过在 SDLC 期间进行DAST ,您可以在向公众部署应用程序之前发现其中的漏洞。如果这些漏洞没有被检查出来,而应用程序就这样被部署了,这可能会导致数据泄露,造成重大经济损失和品牌声誉受损。在软件开发生命周期(SDLC)的某些阶段,人为错误不可避免地会发挥作用,而在 SDLC 阶段越早发现漏洞,修复成本就越低。
当DAST 作为持续集成/持续开发(CI/CD)管道的一部分时,这被称为 "安全 DevOps "或 "DevSecOps"。
DAST 如何工作?
DAST 扫描仪可搜索运行中应用程序中的漏洞,如果发现允许、跨站脚本 (XSS) 等攻击的漏洞,就会自动发出警报。由于DAST 工具具备在动态环境中运行的功能,因此可以检测到SAST 工具无法识别的运行时漏洞。
以建筑物为例,DAST 扫描仪就好比是一名保安。不过,这名保安并不只是确保门窗上锁,而是更进一步,试图实际闯入建筑物。保安可能会尝试撬开门锁或打破窗户。完成检查后,保安可以向大楼经理汇报,并解释他是如何闯入大楼的。DAST 扫描仪也可以这样理解:它会主动尝试查找运行环境中的漏洞,以便 DevOps 团队知道在哪里以及如何修复这些漏洞。什么是适合开发人员使用的DAST 工具?
好色先生TV? Fortify? WebInspect提供自动动态应用程序安全测试,因此您可以扫描和修复可利用的网络应用程序漏洞。
通常情况下,DAST 是在生产之后进行的,因为它是在模拟对运行中应用程序的攻击;但通过决定 "向左移动顿础厂罢 "(在开发过程中提前移动DAST ),您就能尽早发现漏洞,从而节省时间和金钱。Fortify WebInspect 包括预建扫描策略,可在速度需求与组织要求之间取得平衡。
Fortify WebInspect 还包括增量扫描功能,可让您仅对应用程序中发生变化的部分快速评估漏洞。
Fortify WebInspect 允许您
- 利用自动化技术确保 DevOps 安全DAST
- 大规模管理 AppSec 风险
- 遵守主要数据安全法规
- 向左移动顿础厂罢
- 抓取现代框架和应用程序接口
- 建立更强大的 AppSec 计划
SAST 和DAST 有什么区别?
DAST 从 "外部 "攻击应用程序,就像恶意用户攻击应用程序一样。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。
SAST另一方面,"安全分析 "分析的是静态环境,即应用程序的源代码。它从 "内到外 "审视应用程序,搜索代码中的漏洞。
为了最大限度地提高安全态势的强度,最佳做法是同时使用SAST 和DAST 。有了这种跨测试方法的统一分类法,您就能全面了解漏洞。
在好色先生TV Fortify ...
我们通过动态应用程序安全测试 (DAST) 改善您的 SDLC。Fortify WebInspect 为您提供保护和分析应用程序所需的技术和报告。根据设计,WebInspect 和其他好色先生TV 工具可以弥补现有技术和新兴技术之间的差距,这意味着您可以在数字化转型的竞争中以更低的风险更快地创新和交付应用程序。
Fortify 提供最全面的静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护,并以业界领先的安全研究为后盾。
