【无标题】左移测试、模拟攻击，利用DAST筑就应用安全防线，从零基础到精通，收藏这篇就够了！

动态应用程序安全测试（DAST，Dynamic Application Security Testing）是一种通过前端分析网络应用程序并模拟攻击来发现漏洞的过程。此方法通过模拟恶意用户攻击应用程序，从“外部”对应用程序进行评估。DAST 扫描工具在执行攻击后，会查找不符合预期结果的异常，并识别潜在的安全漏洞。

DAST 的优点

独立于应用程序

能迅速发现可被利用的漏洞

无需访问源代码

DAST 的缺点

无法精准定位代码中的漏洞

需要具备安全知识来解读报告

测试过程较为耗时

IT 安全专家认为，应用程序的开发与测试仍然是企业最具挑战性的安全环节。开发人员需要借助解决方案，帮助他们编写安全代码，而这正是应用安全（AppSec）工具发挥作用的地方。

什么是 AppSec？

AppSec 是一门流程、工具与实践的学科，旨在保护应用程序在整个生命周期中免受威胁。

应用程序安全性测试方法

静态应用程序安全测试（SAST）

动态应用程序安全测试（DAST）

移动应用安全测试（MAST）

交互式应用程序安全测试（IAST）

DAST 为何重要？

DAST 使开发人员在构建应用程序时不必“闭门造车”。在软件开发生命周期（SDLC）中进行 DAST，可以在应用程序公开部署之前发现漏洞。如果这些漏洞未被及时发现，且应用程序已推向市场，可能会导致数据泄露，造成经济和品牌声誉损损失。在 SDLC 的不同阶段，人工错误是不可避免的，越早发现漏洞，修复成本越低。

当 DAST 集成到持续集成/持续开发（CI/CD）管道时，它被称为“安全 DevOps”或“DevSecOps”。

DAST 如何工作？

DAST 扫描工具会搜索运行中的应用程序中的漏洞，一旦发现允许 SQL 注入、跨站脚本（XSS）等攻击的漏洞，它会自动发出警报。由于 DAST 工具能够在动态环境中运行，因此它能够发现 SAST 工具无法识别的运行时漏洞。

以建筑物为例，DAST 扫描工具就像是一名保安，但这位保安不仅仅是确保门窗上锁，而是主动尝试闯入建筑物。他可能会尝试撬锁或者打破窗户。一旦检查完毕，保安会向大楼经理汇报并解释他是如何进入的。同样，DAST 扫描工具也会主动在运行环境中寻找漏洞，帮助 DevOps 团队了解漏洞所在及如何修复。

适合开发人员使用的

DAST 工具有哪些？

OpenText™ Fortify™ WebInspect 提供自动化的动态应用程序安全测试，帮助扫描和修复可被利用的网络应用程序漏洞。

通常情况下，DAST 是在应用程序开发完毕后进行的，因为它是模拟对运行中应用程序的攻击。然而，通过“左移 DAST”（将DAST提早到开发过程的早期），开发团队能够更早发现漏洞，从而节省时间和成本。Fortify WebInspect 包括预构建的扫描策略，能够在速度需求与组织要求之间实现平衡。

Fortify WebInspect 还具备增量扫描功能，能够仅对应用程序中有变化的部分进行快速漏洞评估。

Fortify WebInspect 的优势

利用自动化技术确保 DevOps 中的安全 DAST

大规模管理 AppSec 风险

符合主要的数据安全法规

“左移”DAST，提早检测漏洞

支持现代框架和应用程序接口

帮助构建更强大的 AppSec 计划

SAST 与 DAST 的区别

DAST 从“外部”攻击应用程序，模拟恶意用户的攻击行为，扫描后识别异常结果并发现安全漏洞。

而 SAST 则分析静态环境，即应用程序的源代码。它从“内到外”审视应用程序，查找源代码中的漏洞。

为了最大化安全防护效果，最佳做法是同时使用 SAST 和 DAST。通过这种综合测试方法，您可以全面了解应用程序中的漏洞。

OpenText Fortify，

如何提升您的 SDLC？

我们通过动态应用程序安全测试（DAST）提升您的软件开发生命周期（SDLC）。Fortify WebInspect 提供必要的技术和报告，帮助您保护和分析应用程序。该工具及其他 OpenText 工具都旨在弥补现有技术与新兴技术之间的差距，使您能够在数字化转型过程中以更低的风险、更快的速度创新并交付应用程序。

Fortify 为您提供最全面的静态和动态应用程序安全测试技术，并提供运行时应用程序监控与保护，同时依托行业领先的安全研究为后盾。