在上篇文章中,我们了解了SAST的概念、优劣和使用的工具,并在文章里提到了另一个软件安全领域里的重要技术DAST。本文将会详细介绍DAST的概念、重要性及其工作原理。
DAST(DynamicApplicationSecurityTesting)是在应用程序处于生产阶段时发现安全漏洞的过程,它包括使用各种测试工具进行手动和自动化测试。
这是一种黑盒测试的类型,测试者无需了解架构、网络或者代码,而是从一个恶意攻击者的角度来测试应用程序。应用程序依赖于输入和输出运行,这意味着如果用户的输入有疑点,在响应上会有反馈。
DAST测试可以在正式投入使用之前帮助你在软件中发现漏洞。它不是为特定软件而设计的,而是在易受攻击的应用层上工作。
为什么动态应用安全测试(DAST)如此重要?
根据InternetLiveStats的数据,全球有超过17亿个网站,因此安全漏洞的数量在不断增加也就不足为奇了。CNBC的一项研究显示,超过75%的应用程序在某种程度上存在漏洞,而这些漏洞不会很快消失,这就是应用程序安全测试(AST)的用武之地。
南半球的蝴蝶扇动一下翅膀就能在北半球引发一场台风,开发人员轻微的安全错误(例如,用户输入验证不当、服务器版本泄露和使用易受攻击的软件库等)也有可能导致重大的安全问题。
而采用DAST,可以让开发人员在构建应用程序时不必完全依赖自己的知识和过往经验。通过在软件开发生命周期(SDLC)中执行DAST,开发人员可以在软件公开部署之前捕获应用程序中的漏洞。如果不检查这些漏洞而直接部署应用程序,可能会导致数据泄露,进而造成重大的经济损失和损耗品牌声誉。在软件开发生命周期(SDLC)的某个阶段,人为错误将不可避免,而在SDLC中越早发现漏洞,修复的成本就越低。
当DAST成为CI/CD流水线的一部分时,DevSecOps就诞生了。对FortifyonDemand(FoD)漏洞数据的分析显示,在超过个网络应用程序中,94%的程序含有安全功能的漏洞,而代码质量和API滥用问题在过去4年里大约增加了一倍。
DAST的2种类型
大部分人认为DAST是一个自动化的方式,但事实并非如此。在广泛意义上,动态应用安全测试被分为两类:
手动DAST:当涉及到保护应用程序的安全时,软件漏洞扫描工具和渗透测试工具可以在很大程度上发挥作用,但它们也会存在疏漏。这就是手动DAST施展拳脚的地方,他们可以利用自己的经验和相关知识来发现自动扫描工具可能会忽略的漏洞。手动测试包括安全专业团队测试应用程序的漏洞,这些漏洞通常被自动漏洞扫描工具所遗漏。
自动DAST:自动化动态测试包括使用软件测试应用程序并为其提供所需数据。这种类型的测试包括使用爬虫、Fuzzer和Regex等方法来寻找和替换重要的关键词,模拟一次真正的攻击从而导致不同类型的漏洞,如SQL注入、跨站脚本攻击和服务器端请求伪造等。
DAST工作原理
DAST扫描工具会在正在运行的应用程序中查找漏洞,然后在发现了SQL注入攻击、跨站脚本(XSS)攻击的漏洞时自动发送告警。因为DAST工具具备在动态环境中运行的能力,它们可以检测到SAST工具无法识别的运行时缺陷。
假如应用程序是一栋大楼,那么DAST扫描工具可以被认为是一个保安。并且这个保安不仅仅是确保门窗已锁好,还会身体力行地测试各种闯入大楼的方法,例如撬开门锁或打破窗户。完成这项检查后,保安会向大楼经理汇报并解释他是如何闯入大楼的。
DAST会测试所有种类的endpoint,包括隐藏的endpoint,并触发不同种类的攻击以发现安全漏洞。DAST的自动化测试工具通过模拟对应用程序的恶意攻击识别出漏洞,这是在日常使用过程中难以发现的。
由于DAST可以对应用进行端到端的测试,而无需进入源代码,所以不需要事先了解所使用的编程语言。这使得DAST使用起来十分方便。其他应用程序安全测试方法并未涵盖广泛的漏洞测试。此外,DAST在运行时查找源代码中的漏洞,这意味着DAST不需要重新构建一个应用程序来测试漏洞。
将DAST集成到SDLC中
软件开发生命周期(SDLC)是软件开发中的一个术语,这是一个统一了整个软件或应用程序开发流程的框架。无论所开发的软件类型是什么,一个预先构建好的软件开发生命周期对成功至关重要。
将DAST工具集成到SDLC中,也是构建一个安全的应用程序的关键。
DAST的主要
转载请注明:http://www.0431gb208.com/sjszyzl/4671.html