淺談DAST，什麼是DAST，開發人員為什麼要使用它？

DAST 代表動態應用程式安全測試。 DAST 是測試 Web、移動和 API 應用程式以通過模擬攻擊發現漏洞/安全漏洞的過程。

DAST 是使用自動掃描器或手動滲透測試實踐實時測試應用程式的過程。

大多數開發人員還沒有聽說過 DAST 掃描器，因為它們主要由 appsec 和滲透測試人員使用。

DAST 發現了哪些漏洞？

大多數自動掃描程式會發現 SQL 注入、NoSQL 注入、XSS 等嚴重漏洞。邏輯錯誤、身份驗證和授權缺陷等難以發現的漏洞通常由道德黑客、滲透測試人員和 AppSec 工程師完成。首選方法是編寫可以作為 CI/CD 的一部分執行的自動化測試用例。

開發人員應該注意 DAST 嗎？

需要注意！因為具有上述任何嚴重漏洞都可能導致資料洩露的後果。此外，大多數 DAST 掃描現在可以輕鬆整合到 CI/CD 管道中，完全自動化。

DAST技術堆疊獨立的優點：獨立於應用程式堆疊。它作為一個整體測試應用程式。在執行時的所有原始碼和庫都經過漏洞測試。

它不需要訪問原始碼。
誤報率低：根據 OWASP 的基準專案，DAST 解決方案產生的誤報率低於其他測試方法。
識別配置問題：DAST 擅長發現僅在應用程式執行時出現的安全漏洞。 此外，DAST 從外向內攻擊應用程式，將其置於完美位置，以發現其他 AST 工具遺漏的配置錯誤。
邏輯漏洞：這些缺陷在開發早期很難檢測到。 這些問題是由安全配置、資料和其他因素引起的，所以很難在非生產環境中檢測到， 檢測這些缺陷需要在編寫測試用例並在開發/生產中連續執行它們。

DAST 的缺點
在程式碼中找不到漏洞的確切位置
測試可能很耗時。

以下是一些免費的 DAST 解決方案，你可以針對自己的實時應用程式安全地執行：

EthicalCheck：
API 的免費和自動化 DAST。

Burp Suite
編寫你的測試