定义
动态应用程序安全测试 (DAST) 是一种 AppSec 测试方法:测试人员无需了解应用的内部交互或设计,也无需访问或查看源程序,即可在系统层面检查正在运行的应用。这种“黑盒”测试从外到内查看应用,检查其运行状态,并观察其对测试工具模拟攻击的响应。观察应用对这些模拟的响应有助于确定应用是否易受攻击,且易受真正的恶意攻击。
DAST 的工作原理是什么?
DAST 通过模仿恶意攻击者,自动模拟攻击应用来开展测试。目标是发现可能被攻击者用于损害应用的预期之外的后果或结果。DAST 工具没有关于应用的内部信息,也没有源代码,因此会像外部黑客一样发起攻击 — 黑客掌握的应用知识和信息也同样有限。
DAST 引领未来
改变现代应用安全模式
如今,为了完全保护软件的安全,必须考虑整个攻击面。这意味着除了传统的静态应用程序安全测试 (SAST) 和软件组成分析 (SCA) 之外,还对 Web、移动和 API 应用程序实施持续的动态应用安全测试 (DAST)。
DAST 解决哪些问题?
随着数字世界的加速发展,应用程序推动着世界经济的不断运转,而企业也在巨大的压力下努力保持领先地位。企业必须在一个复杂、无情的威胁参与者随时准备利用任何机会破坏、威胁关键数据和造成破坏的环境中不断创新。为了成功克服这一全新挑战,制定和执行一份可以确保其应用程序安全的计划,对于各企业而言就显得至关重要。
DAST 通过模仿恶意攻击者,模拟自动攻击应用来发挥作用。目标是发现可能被攻击者用于损害应用的预期之外的后果或结果。DAST 工具没有关于应用或源代码的内部信息,因此会像外部威胁行动者一样发起攻击 — 他们掌握的应用知识和信息也同样有限。
易受攻击的应用程序
#1
安全漏洞的原因
使用开源库有助于 DevOps 团队更快地构建云应用程序,但同时也让各公司面临这样一种风险,即分发可能包含在开源代码中的安全漏洞。软件组成分析 (SCA) 等测试工具使 DevOps 团队能够发现已集成到应用程序中的第三方和开源组件。SCA 解决方案通常会扫描这些组件,寻找已知的常见漏洞和暴露 (CVE) 以及过期或缺失的软件许可证和库。大多数开源库都包含其他开源库,由此创建了一个复杂的传递依赖列表。这种隐藏的复杂性可能会给 DevOps 团队带来安全方面的难题。现代安全平台应包括一个 SCA 解决方案,该解决方案能够识别所有被包含库中的漏洞以及开源库中嵌入的传递性依赖。注重安全的 DevOps 团队通常会将 SCA 扫描纳入其持续交付 (CD) 流程。
一旦 DevOps 团队构建了一个正在运行的应用程序,就需要在部署到云之前进行一系列黑盒测试。这些测试模拟了攻击者用来查找潜在应用程序安全弱点的技术。DAST 解决方案能够找到难以通过 SCA 发现的运行时漏洞,例如身份验证和服务器配置错误、代码注入、SQL 注入和 XSS 错误。DAST 工具在应用程序上使用故障注入技术,例如,向软件提供不同的恶意数据,以识别常见的安全漏洞。由于 DAST 扫描着眼于正在运行的软件,因此它们会在 DevOps 流水线中进一步出现,并且可以在预生产或生产环境中运行。
正在寻找基于云的集成式AST解决⽅案?欢迎了解Polaris。
Polaris Software Integrity Platform®将市场领先的DAST引擎(WhiteHat™ Dynamic)、SAST引擎(Coverity®)和SCA引擎(Black Duck®)整合到一个易于使用、经济高效且高可扩展的SaaS解决方案中,为满足现代DevSecOps的需求提供了优化的解决方案。
为什么 DAST 对应用程序安全至关重要?
随着越来越多的企业依靠 Web 和移动应用程序取得成功,应用程序安全漏洞已迅速成为数据泄露的最常见原因。因此,对于各企业而言,保护其应用程序和代码比以往任何时候都显得更加重要。
各公司目前面临的挑战
- 向云和云原生应用程序技术的转变正在使应用程序变得更加复杂。
- 大规模分布式微服务和 Serverless 功能意味着开发人员只专注于自己的服务,没有人能够完全掌握整个代码库。
- 随着应用程序数量的增加,部署到云的软件代码的总行数扩大了潜在的攻击面。
- 随着越来越多的公司专注于数字化转型以及开发人员退休或更换职位,对旧代码的掌握程度变得越来越弱。
- 第三方和开源软件的普及使应用程序在本质上更加复杂。因此,大量的应用程序代码是在公司之外进行开发的。
- DevOps 方法有助于开发团队更快地行动,但却让开发团队几乎没有时间进行手动或过时的安全检查。
代码更改的速度正在加快,托管应用程序的基础架构正在发生变化,对应用程序的攻击数量也在增加。这三个转变引起了对轻量级但全面且高度可用的应用程序安全解决方案的需求。这些解决方案可满足信息安全团队与应用程序开发团队之间的协同工作。这是通过有效运行的应用程序安全工具来实现的,在正在处理的项目的上下文中,准确地报告漏洞和应用程序的安全状态。同时还必须为特别棘手的问题提供专家咨询,并提供可轻松集成到 SDLC 中的解决方案,从而为开发人员的教育提供支持。
实施 DAST,不仅对确定在生产中运行的应用程序的安全状态以及它们可能与最终用户交互的方式而言必不可少,而且对于团队能够跟上不断变化的应用程序步伐和了解对手而言,如今也变得至关重要。有效的 DevSecOps 始于获取由 DAST 产生的反馈,然后将其集成到 SecOps 和 DevOps 工具中。毕竟,DAST 发现了会使公司及其最终用户面临风险的实际漏洞
- 保护您的应用程序和代码
- 识别遗留的漏洞和新的漏洞
- 提供优质的漏洞评估报告,以加快补救流程
各公司越来越依赖云平台,因此需要对安全的各个方面进行考虑,而不是忽视应用程序安全层面。随着新的应用程序、API 和功能的不断增加,应用程序攻击面正在迅速扩大。这种增长促使不良行动者使用易于访问的工具和实用程序,来利用具有已知漏洞或易感代码的应用程序。一旦应用程序遭到破坏,这些不良行动者可能会获得未被检测到的机密客户数据、个人身份信息和/或其他可利用的公司资源的访问权限,使组织遭受代价高昂的信息泄露和客户信任丧失。
仅在开发中测试应用程序,无法保护它们免受生产环境中的破坏。正式的应用程序安全计划对于降低整体业务风险至关重要。正确的策略和技术可以识别各种可用于攻击应用程序的漏洞,并展示如何在漏洞发生之前保护应用程序。如果执行正确,各公司将授权其团队迅速承担责任并纠正潜在问题,而不会造成干扰。
DAST 和 SAST 有何区别?
新思科技如何满⾜您的安全需求?
新思科技很清楚,不同组织对Web应用安全测试的需求不尽相同,这也正是我们提供两种DAST解决方案的原因:Polaris fAST Dynamic 和WhiteHat Dynamic。每种解决方案都旨在满足组织的特定测试需求,确保每个组织都能找到适合其独特需求的正确方法。
Polaris fAST Dynamic能够简化动态测试过程,使组织能够在不影响开发速度的情况下快速测试其Web应用。该解决方案特别适合希望利用自助服务解决方案的易用性优势,同时又能支持现代Web技术的团队。
Polaris fAST Dynamic 的主要亮点:
- 轻松启动。启动安全测试很简单,需要的步骤很少,无需复杂配置。几分钟内即可启动并开始扫描。
- 智能攻击执行。fAST Dynamic可以智能地导航和分析Web应用,从而减少对大量手动输入和专业知识的需求,同时确保全面覆盖,但不会增加复杂性。
- 高效且准确。经过优化的检查器返回的误报极少,同时提供准确的漏洞检测,重点放在识别最高风险问题的高价值的检查上,以提高整个测试过程的效率。
- 敏捷性和可扩展性。fAST Dynamic专为适应敏捷开发周期而设计,支持快速的安全测试,并可通过轻松扩展来处理大量Web应用,但不会影响性能
WhiteHat Dynamic专注于提供专家引导的DAST解决方案。依托丰富的安全专业知识,它可以帮助组织开展全面的持续测试,并提供经过验证的结果。
WhiteHat Dynamic的主要亮点:
- 连续扫描。WhiteHat Dynamic提供连续扫描,能够检测并适应代码变化,确保自动测试新功能。它可适应您的开发流程的速度,并确保始终通过一致的方式进行测试。
- 结果准确。 WhiteHat Dynamic提供对结果的手动验证,以将误报减少到几乎为零,从而最大限度地缩短漏洞分类时间,并确保开发者专注于修复最高风险的漏洞。
- 风险评分。WhiteHat Dynamic安全指数(WhiteHat Dynamic Security Index)是单一分数,使您能够评估Web应用安全的整体状况。
- 无外设操作。许多组织都通过仪表板等系统来管理应用安全测试。WhiteHat Dynamic提供一组丰富的API,使得测试能够按计划进行,并且测试结果能够以编程方式自动捕获和处理。这可以确保WhiteHat Dynamic能够轻松集成到现有的安全和DevOps流程中,并且测试结果能够自动馈送到组织的系统中。
新思科技致力于提供满足客户多样化需求的安全解决方案。无论您需要的是fAST Dynamic提供的敏捷的自助服务方法,还是WhiteHat Dynamic提供的专家驱动的详细流程,我们的目标都是支持您有效且高效地开展安全工作。
