应用安全
DAST(动态应用安全测试)
别称: 动态分析, 黑盒安全测试
定义
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
DAST 工具通过 HTTP 等协议与已部署的应用交互,无需源码即可工作。它会爬取端点、构造恶意请求并分析响应,从而检测 SQL 注入、XSS、SSRF、身份认证缺陷、错误的 CORS 配置或不安全的 Cookie 等问题。由于看到的内容与攻击者相似,DAST 与 SAST 互为补充,可发现仅在运行时出现的问题,包括配置、基础设施和第三方服务引入的问题。通常在 staging 或 QA 环境中运行,并作为 CI/CD 的发布门禁。常见工具包括 OWASP ZAP、Burp Suite、Invicti、Acunetix 和 StackHawk。
示例
- 在 CI 任务中对 staging API 运行 OWASP ZAP 自动扫描。
- 使用 Burp Suite 以已认证会话对单页应用执行扫描。
相关术语
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
IAST(交互式应用安全测试)
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
RASP(运行时应用自保护)
嵌入到运行中应用程序内部的防御机制,实时监视执行上下文并阻断注入、反序列化攻击等恶意行为。
模糊测试
通过向程序输入大量畸形、随机或未预期的数据,自动发现崩溃、内存破坏与安全漏洞的测试技术。
DevSecOps
一种将安全责任融入 DevOps 流程的文化与实践,使团队能够持续、高效地交付安全的软件。
OWASP Top 10
OWASP Top 10 — definition coming soon.