动态应用程序安全测试 (DAST动态应用程序安全测试(Dynamic Application Security Testing)是通过前端分析网络应用程序,通过模拟攻击发现漏洞的过程。这种方法通过像恶意用户一样攻击应用程序,从 "外部 "对应用程序进行评估。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。
IT 安全专业人士认为,应用程序开发和测试仍然是企业最具挑战性的安全流程。开发人员需要解决方案来帮助他们创建安全的代码,而这正是应用安全(AppSec)工具发挥作用的地方。
AppSec 是一门流程、工具和实践的学科,旨在保护应用程序在整个应用生命周期中免受威胁。
测试应用程序安全性的方法有很多,包括
DAST 之所以重要,是因为开发人员在构建应用程序时不必完全依赖自己的知识。通过在 SDLC 期间进行DAST ,您可以在向公众部署应用程序之前发现其中的漏洞。如果这些漏洞没有被检查出来,而应用程序就这样被部署了,这可能会导致数据泄露,造成重大经济损失和品牌声誉受损。在软件开发生命周期(SDLC)的某些阶段,人为错误不可避免地会发挥作用,而在 SDLC 阶段越早发现漏洞,修复成本就越低。
当DAST 作为持续集成/持续开发(CI/CD)管道的一部分时,这被称为 "安全 DevOps "或 "DevSecOps"。
DAST 扫描仪可搜索运行中应用程序中的漏洞,如果发现允许SQL 注入、跨站脚本 (XSS) 等攻击的漏洞,就会自动发出警报。由于DAST 工具具备在动态环境中运行的功能,因此可以检测到SAST 工具无法识别的运行时漏洞。
以建筑物为例,DAST 扫描仪就好比是一名保安。不过,这名保安并不只是确保门窗上锁,而是更进一步,试图实际闯入建筑物。保安可能会尝试撬开门锁或打破窗户。完成检查后,保安可以向大楼经理汇报,并解释他是如何闯入大楼的。DAST 扫描仪也可以这样理解:它会主动尝试查找运行环境中的漏洞,以便 DevOps 团队知道在哪里以及如何修复这些漏洞。OpenText™ Fortify™ WebInspect提供自动动态应用程序安全测试,以便扫描和修复可利用的网络应用程序漏洞。
通常情况下,DAST 是在生产之后进行的,因为它是在模拟对正在运行的应用程序的攻击;但是,通过决定 "左移 DAST"(将 DAST 移至开发过程的早期),您就能够更快地检测到漏洞,从而节省时间和金钱。Fortify WebInspect 包括预建扫描策略,在速度需求与组织要求之间实现了平衡。
Fortify WebInspect 还包括增量扫描功能,可让您仅对应用程序中发生变化的区域快速评估漏洞。
Fortify WebInspect 让您可以
DAST 从 "外部 "攻击应用程序,就像恶意用户攻击应用程序一样。DAST 扫描仪执行这些攻击后,会查找不属于预期结果集的结果,并识别安全漏洞。
SAST另一方面,"安全分析 "分析的是静态环境,即应用程序的源代码。它从 "内到外 "审视应用程序,搜索代码中的漏洞。
为了最大限度地提高安全态势的强度,最佳做法是同时使用SAST 和DAST 。有了这种跨测试方法的统一分类法,您就能全面了解漏洞。
我们通过Dynamic Application Security Testing (DAST) 改善您的 SDLC。Fortify WebInspect 为您提供保护和分析应用程序所需的技术和报告。根据设计,该工具和其他OpenText 工具可以弥补现有技术和新兴技术之间的差距,这意味着您可以在数字化转型的竞争中,以更低的风险更快地创新和交付应用程序。
Fortify 提供最全面的静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护,并以业界领先的安全研究为后盾。
识别已部署Web应用程序和服务中的漏洞
解锁安全测试、漏洞管理以及量身定制的专业知识和支持
精准防守,自信保障