Безопасность приложений
DAST (Dynamic Application Security Testing)
Также известно как: Динамический анализ, Black-box тестирование
Определение
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
Примеры
- Запуск автоматического сканирования OWASP ZAP против staging API в CI.
- Сканирование SPA с аутентифицированной сессией с помощью Burp Suite.
Связанные термины
SAST (Static Application Security Testing)
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
IAST (Interactive Application Security Testing)
Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.
RASP (Runtime Application Self-Protection)
Защита, встроенная внутрь работающего приложения и в реальном времени блокирующая вредоносные действия — инъекции, небезопасную десериализацию — на основе контекста выполнения.
Фаззинг
Автоматизированная техника тестирования, при которой программу обстреливают большим числом некорректных, случайных или неожиданных входов для выявления крэшей, повреждений памяти и уязвимостей.
DevSecOps
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
OWASP Top 10
OWASP Top 10 — definition coming soon.