技术主题

Dynamic Application Security Testing (DAST) 是什么?

以问号为重点的信息技术项目图示

概述

动态应用程序安全测试 (DAST动态应用程序安全测试(Dynamic Application Security Testing)是通过前端分析网络应用程序,通过模拟攻击发现漏洞的过程。这种方法通过像恶意用户一样攻击应用程序,从 "外部 "对应用程序进行评估。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。

Dynamic Application Security Testing (DAST)

优点DAST

  • 独立于应用程序
  • 立即发现可被利用的漏洞
  • 无需访问源代码

缺点DAST

  • 无法找到代码中漏洞的确切位置
  • 解读报告需要安全知识
  • 测试耗时

IT 安全专业人士认为,应用程序开发和测试仍然是企业最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码,而这正是应用安全(AppSec)工具发挥作用的地方。

AppSec 是一门流程、工具和实践的学科,旨在保护应用程序在整个应用生命周期中免受威胁。

测试应用程序安全性的方法有很多,包括


DAST 为何重要?

DAST 之所以重要,是因为开发人员在构建应用程序时不必完全依赖自己的知识。通过在 SDLC 期间进行DAST ,您可以在向公众部署应用程序之前发现其中的漏洞。如果这些漏洞没有被检查出来,而应用程序就这样被部署了,这可能会导致数据泄露,造成重大经济损失和品牌声誉受损。在软件开发生命周期(SDLC)的某些阶段,人为错误不可避免地会发挥作用,而在 SDLC 阶段越早发现漏洞,修复成本就越低。

当DAST 作为持续集成/持续开发(CI/CD)管道的一部分时,这被称为 "安全 DevOps "或 "DevSecOps"。


DAST 如何工作?

DAST 扫描仪可搜索运行中应用程序中的漏洞,如果发现允许SQL 注入、跨站脚本 (XSS) 等攻击的漏洞,就会自动发出警报。由于DAST 工具具备在动态环境中运行的功能,因此可以检测到SAST 工具无法识别的运行时漏洞。

以建筑物为例,DAST 扫描仪就好比是一名保安。不过,这名保安并不只是确保门窗上锁,而是更进一步,试图实际闯入建筑物。保安可能会尝试撬开门锁或打破窗户。完成检查后,保安可以向大楼经理汇报,并解释他是如何闯入大楼的。DAST 扫描仪也可以这样理解:它会主动尝试查找运行环境中的漏洞,以便 DevOps 团队知道在哪里以及如何修复这些漏洞。

什么是适合开发人员使用的DAST 工具?

OpenText™ Fortify™ WebInspect提供自动动态应用程序安全测试,以便扫描和修复可利用的网络应用程序漏洞。

通常情况下,DAST 是在生产之后进行的,因为它是在模拟对正在运行的应用程序的攻击;但是,通过决定 "左移 DAST"(将 DAST 移至开发过程的早期),您就能够更快地检测到漏洞,从而节省时间和金钱。Fortify WebInspect 包括预建扫描策略,在速度需求与组织要求之间实现了平衡。

Fortify WebInspect 还包括增量扫描功能,可让您仅对应用程序中发生变化的区域快速评估漏洞。

Fortify WebInspect 让您可以

  • 利用自动化技术确保 DevOps 安全DAST
  • 大规模管理 AppSec 风险
  • 遵守主要数据安全法规
  • 向左移动DAST
  • 抓取现代框架和应用程序接口
  • 建立更强大的 AppSec 计划

SAST 和DAST 有什么区别?

DAST 从 "外部 "攻击应用程序,就像恶意用户攻击应用程序一样。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。

SAST另一方面,"安全分析 "分析的是静态环境,即应用程序的源代码。它从 "内到外 "审视应用程序,搜索代码中的漏洞。

为了最大限度地提高安全态势的强度,最佳做法是同时使用SAST 和DAST 。有了这种跨测试方法的统一分类法,您就能全面了解漏洞。


在OpenText Fortify ...

我们通过Dynamic Application Security Testing (DAST) 改善您的 SDLC。Fortify WebInspect 为您提供保护和分析应用程序所需的技术和报告。根据设计,该工具和其他OpenText 工具可以弥补现有技术和新兴技术之间的差距,这意味着您可以在数字化转型的竞争中,以更低的风险更快地创新和交付应用程序

Fortify 提供最全面的静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护,并以业界领先的安全研究为后盾。

联系我们

如需了解更多信息,请联系我们Fortify WebInspect

联系我们

我们能提供什么帮助?

脚注