淺談DAST,什麼是DAST,開發人員為什麼要使用它?
DAST 代表動態應用程式安全測試。 DAST 是測試 Web、移動和 API 應用程式以通過模擬攻擊發現漏洞/安全漏洞的過程。
DAST 是使用自動掃描器或手動滲透測試實踐實時測試應用程式的過程。
大多數開發人員還沒有聽說過 DAST 掃描器,因為它們主要由 appsec 和滲透測試人員使用。
DAST 發現了哪些漏洞?
大多數自動掃描程式會發現 SQL 注入、NoSQL 注入、XSS 等嚴重漏洞。邏輯錯誤、身份驗證和授權缺陷等難以發現的漏洞通常由道德黑客、滲透測試人員和 AppSec 工程師完成。首選方法是編寫可以作為 CI/CD 的一部分執行的自動化測試用例。
開發人員應該注意 DAST 嗎?
需要注意!因為具有上述任何嚴重漏洞都可能導致資料洩露的後果。此外,大多數 DAST 掃描現在可以輕鬆整合到 CI/CD 管道中,完全自動化。
DAST技術堆疊獨立的優點:獨立於應用程式堆疊。它作為一個整體測試應用程式。在執行時的所有原始碼和庫都經過漏洞測試。
它不需要訪問原始碼。
誤報率低:根據 OWASP 的基準專案,DAST 解決方案產生的誤報率低於其他測試方法。
識別配置問題:DAST 擅長發現僅在應用程式執行時出現的安全漏洞。
此外,DAST 從外向內攻擊應用程式,將其置於完美位置,以發現其他 AST 工具遺漏的配置錯誤。
邏輯漏洞:這些缺陷在開發早期很難檢測到。
這些問題是由安全配置、資料和其他因素引起的,所以很難在非生產環境中檢測到,
檢測這些缺陷需要在編寫測試用例並在開發/生產中連續執行它們。
DAST 的缺點
在程式碼中找不到漏洞的確切位置
測試可能很耗時。
以下是一些免費的 DAST 解決方案,你可以針對自己的實時應用程式安全地執行:
EthicalCheck:
API 的免費和自動化 DAST。
Burp Suite
編寫你的測試
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70017861/viewspace-2897055/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- TypeScript是什麼,為什麼要使用它?TypeScript
- 什麼是HSTS,為什麼要使用它?
- 什麼是行為資料?企業為什麼要使用它?
- 你知道什麼是BLOB URL嗎?為什麼要使用它?
- 公司為什麼要使用OKR,目的是什麼?OKR
- 什麼是DevSecOps?開發人員如何為安全而左移dev
- GC是什麼?為什麼我們要去使用它GC
- 人是什麼?人生是什麼?人為什麼會變?
- 為什麼銷售人員要使用CRM的四個理由?
- 什麼是Web開發?如何成為一個Python Web開發人員?WebPython
- 為什麼像Google公司的一些開發人員認為敏捷開發是無稽之談? - QuoraGo敏捷
- 為什麼開發人員喜歡低程式碼?
- 為什麼 Python 開發人員應該使用 PipenvPython
- 淺談:什麼是雲網路?
- SpringMVC系列知識:(二)什麼是springMVC,為什麼要使用springMVCSpringMVC
- 為什麼要使用zookeeper
- 為什麼要使用 Redis?Redis
- 為什麼要使用promisePromise
- 為什麼要使用CDN?
- 什麼是ping如何使用它
- 什麼是設計模式?為什麼要使用設計模式?有什麼好處?設計模式
- 什麼是前端開發?為什麼要學前端開發?前端
- SAST 與 DASTAST
- 什麼是Godaddy?站長使用它的原因是什麼Go
- 我為什麼要使用Webpack?Web
- 為什麼要使用sass/less?
- 為什麼要使用微服務微服務
- 為什麼要使用代理池?
- 為什麼開發人員痴迷於“關注點分離”?
- 為什麼安全是Java開發人員的首要任務?Java
- 【譯】為什麼 React16 對開發人員來說是一種福音React
- 大家信夫淺談:什麼是信用什麼是社會信用體系?
- 熱點淺談:低程式碼開發平臺是什麼?低程式碼具備什麼特點?
- 為什麼開發人員必須要了解資料庫鎖?資料庫
- 為什麼 Web 開發人員需要學習一個 JavaScript 框架?WebJavaScript框架
- 為什麼銷售人員需要CRM?
- 為什麼要使用Node.JSNode.js
- angularjs中,為什麼要使用resolve?AngularJS