Entry № 305
DAST(动态应用安全测试)
DAST(动态应用安全测试) 是什么?
DAST(动态应用安全测试)对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
DAST 工具通过 HTTP 等协议与已部署的应用交互,无需源码即可工作。它会爬取端点、构造恶意请求并分析响应,从而检测 SQL 注入、XSS、SSRF、身份认证缺陷、错误的 CORS 配置或不安全的 Cookie 等问题。由于看到的内容与攻击者相似,DAST 与 SAST 互为补充,可发现仅在运行时出现的问题,包括配置、基础设施和第三方服务引入的问题。通常在 staging 或 QA 环境中运行,并作为 CI/CD 的发布门禁。常见工具包括 OWASP ZAP、Burp Suite、Invicti、Acunetix 和 StackHawk。
● 示例
- 01
在 CI 任务中对 staging API 运行 OWASP ZAP 自动扫描。
- 02
使用 Burp Suite 以已认证会话对单页应用执行扫描。
● 常见问题
DAST(动态应用安全测试) 是什么?
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。 它属于网络安全的 应用安全 分类。
DAST(动态应用安全测试) 是什么意思?
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
如何防御 DAST(动态应用安全测试)?
针对 DAST(动态应用安全测试) 的防御通常结合技术控制与运营实践,详见上方完整定义。
DAST(动态应用安全测试) 还有哪些其他名称?
常见的别称包括: 动态分析, 黑盒安全测试。