动态应用程序安全测试
维基百科,自由的 encyclopedia
动态应用程序安全测试(dynamic application security testing)简称DAST,属于非功能测试(英语:non-functional testing),用特定技术来评估应用程序,以得到应用程序安全弱点和漏洞的测试方式。动态应用程序安全测试可以用自动化工具进行,也可以人工进行,人工评估可以识别到一些自动化工具可能不会测到的内容,例如业务逻辑错误或是竞争条件,有些0day漏洞只能用人工检查来识别。DAST的工具会利用应用程序的前端和应用程序互动,以识别其安全漏洞以及软件架构上的弱点[1]。动态应用程序安全测试进行的是黑箱测试,不需要存取源代码,是用实际进行攻击来侦测弱点。
只要配置host名称,crawling参数以及身份验证凭据,DAST工具可以在最小人工介入的情形下,进行复杂的扫描,并侦测弱点。这些工具可以侦测查询字串、header、片段(fragment)、动词(GET/POST/PUT)以及DOM注入的弱点。
DAST工具可以建立有关安全漏洞的网页应用程序自动化审核,这也是许多法规所要求的内容。网页应用程序扫描器可以扫描许多的漏洞,像是输入输出资料验证(跨网站指令码及SQL注入)、特定的应用程序问题,或是服务器组态的错误。