什麼是Dynamic Application Security Testing (DAST) ?
概述
動態應用程式安全測試 (DAST)是通過前端分析Web應用程式,通過模擬攻擊發現漏洞的過程。這種類型的方法通過像惡意使用者一樣攻擊應用程式,從“由外而內”評估應用程式。在 DAST 掃描程式執行這些攻擊,查找不屬於預期結果集的結果,並識別安全漏洞。
Dynamic Application Security Testing (DAST)
優點 DAST
- 獨立於應用程式
- 立即發現可能被利用的漏洞
- 不需要訪問原始程式碼
缺點 DAST
- 在代碼中找不到漏洞的確切位置
- 解釋報告需要安全知識
- 測試可能很耗時
據IT安全專業人員稱,應用程式開發和測試仍然是組織最具挑戰性的安全流程。開發人員需要解決方案來幫助他們創建安全代碼,而這正是應用程式安全 (AppSec) 工具發揮作用的地方。
AppSec 是流程、工具和實踐的學科,旨在在整個應用程式生命週期中保護應用程式免受威脅。
有許多方法可以測試應用程式安全性,包括:
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
- 移動應用程式安全測試 (MAST)
- 互動式應用程式安全測試 (IAST)
為什麼是 DAST 重要?
DAST 很重要,因為開發人員在構建應用程式時不必完全依賴自己的知識。通過進行 DAST 在 SDLC 期間,您可以在應用程式部署到公眾之前捕獲應用程式中的漏洞。如果不檢查這些漏洞並按此部署應用程式,則可能導致數據洩露,從而導致重大經濟損失並損害您的品牌聲譽。在軟體開發生命週期 (SDLC) 的某個階段,人為錯誤將不可避免地發揮作用,並且在 SDLC 期間越早發現漏洞,修復成本就越低。
什麼時候 DAST 作為持續集成/持續開發 (CI/CD) 管道的一部分包含在內,這稱為“安全 DevOps”或“DevSecOps”。
如何 DAST 工作?
一個 DAST 掃描程式在正在運行的應用程式中搜索漏洞,然後在發現允許 SQL 注入、跨網站腳稿 (XSS) 等攻擊的缺陷時發送自動警報。因為 DAST 工具可以在動態環境中運行,它們可以檢測運行時缺陷 SAST 工具無法識別。
以建築物為例,一個 DAST 掃描器可以被看作是保安。然而,這名警衛不僅確保門窗上鎖,還更進一步,試圖闖入建築物。警衛可能會試圖撬開門上的鎖或打破窗戶。完成檢查后,警衛可以向大樓經理報告,並解釋他如何能夠闖入大樓。一個 DAST 掃描程式也可以以同樣的方式思考——它會主動嘗試在運行環境中查找漏洞,以便DevOps團隊知道在哪裡以及如何修復它們。什麼是 DAST 非常適合開發人員的工具?
OpenText™ Fortify™ WebInspect提供自動化動態應用程式安全測試,讓您可以掃描和修復可利用的 Web 應用程式漏洞。
通常,DAST 在生產後完成,因為它模擬對正在運行的應用程式的攻擊;但透過做出「向左移動 DAST」(在開發過程中更早移動 DAST)的決定,您可以更快地偵測到漏洞,從而節省時間和金錢。 Fortify WebInspect 包括預先建構的掃描策略,平衡速度需求與組織要求。
Fortify WebInspect 還包括增量掃描功能,使您能夠僅快速評估應用程式已更改區域中的漏洞。
Fortify WebInspect 允許您:
- 通過自動化保護DevOps DAST
- 大規模管理 AppSec 風險
- 遵守主要數據安全法規
- 轉變 DAST 左
- 對現代框架和 API 進行爬網
- 構建更強大的AppSec計劃
這兩者之間有什麼不一樣 SAST 和 DAST?
DAST 像惡意使用者一樣攻擊應用程式,從“由外而內”攻擊應用程式。在 DAST 掃描程式執行這些攻擊,查找不屬於預期結果集的結果,並識別安全漏洞。
SAST另一方面,分析靜態環境,即應用程式的原始程式碼。它從“由內而外”查看應用程式,搜索代碼中的漏洞。
為了最大限度地提高安全態勢的強度,最佳做法是同時使用這兩種方法 SAST 和 DAST.通過跨測試方法實現這種統一的分類,您可以全面瞭解漏洞。
在OpenText Fortify …
我們透過以下方式改進您的 SDLC Dynamic Application Security Testing (DAST) 。 Fortify WebInspect 提供保護和分析應用程式所需的技術和報告。根據設計,這個和其他OpenText 工具彌合了現有技術和新興技術之間的差距,這意味著您可以在數位轉型的競爭中以更低的風險更快地創新和交付應用程式。
Fortify 提供最全面的靜態和動態應用程式安全測試技術,以及運行時應用程式監控和保護,並得到業界領先的安全研究的支援。
