为什么动态应用安全测试（DAST）如此重要？(组图)

在上一篇文章中，我们了解了SAST的概念、优缺点和使用的工具，并提到了软件安全领域的另一项重要技术——DAST。本文将详细介绍 DAST 的概念、重要性和工作原理。

DAST（动态应用程序安全测试）是在应用程序处于生产状态时发现安全漏洞的过程，它包括使用各种测试工具进行手动和自动测试。

这是一种黑盒测试，测试人员不需要了解架构、网络或代码，而是从恶意攻击者的角度测试应用程序。应用程序依赖输入和输出来运行，这意味着如果用户的输入有问题，就会有响应的反馈。

DAST 测试可以帮助您在软件投入生产之前找出软件中的错误。它不是为特定软件设计的，而是适用于易受攻击的应用层。

为什么动态应用程序安全测试 (DAST) 如此重要？

根据 Internet Live Stats 的数据，全球有超过 17 亿个网站，因此安全漏洞的数量不断增加也就不足为奇了。 CNBC 的一项研究表明，超过 75% 的应用程序在某种程度上存在漏洞，而且这些漏洞不会很快消失，而这正是应用程序安全测试 (AST) 的用武之地。

南半球蝴蝶的一次拍动可能会导致北半球发生台风，以及开发人员的轻微安全错误（例如，不正确的用户输入验证、泄露的服务器版本以及使用易受攻击的软件库等）可能会导致重大的安全问题。

借助 DAST，开发人员可以构建应用程序，而无需仅仅依靠自己的知识和过去的经验。通过在软件开发生命周期 (SDLC) 中执行 DAST，开发人员可以在软件公开部署之前发现应用程序中的漏洞。在不检查这些漏洞的情况下部署应用程序可能会导致数据泄露，从而导致重大财务损失和品牌声誉。在软件开发生命周期 (SDLC) 的某个阶段，人为错误是不可避免的，在 SDLC 中越早发现漏洞，修复的成本就越低。

当 DAST 成为 CI/CD 管道的一部分时，DevSecOps 就诞生了。对 Fortify on Demand (FoD) 漏洞数据的分析表明，在 11,000 多个 Web 应用程序中，有 94% 的应用程序包含安全功能漏洞，而代码质量和 API 滥用问题在过去 4 年中大约翻了一番。

DAST 的 2 种类型

大多数人认为 DAST 是一种自动化方式，但事实并非如此。从广义上讲，动态应用安全测试分为两类：

DAST 的工作原理

DAST 扫描工具会在运行的应用程序中查找漏洞，并在发现 SQL 注入攻击、跨站点脚本 (XSS) 攻击中的漏洞时自动发送警报。由于 DAST 工具能够在动态环境中运行，因此它们可以检测 SAST 工具无法识别的运行时缺陷。

如果应用程序是建筑物，那么可以将 DAST 扫描工具视为安全卫士。保安人员不只是确保门窗是否锁好，他还亲自测试了各种闯入建筑物的方法，例如撬门锁或打破窗户。完成此检查后，保安将向大楼经理报告并解释他是如何闯入大楼的。

DAST 测试各种端点，包括隐藏端点，并触发不同类型的攻击以发现安全漏洞。 DAST 的自动化测试工具通过模拟对日常使用中难以发现的应用程序的恶意攻击来识别漏洞。

由于 DAST 可以在不进入源代码的情况下端到端测试应用程序，因此不需要事先了解所使用的编程语言。这使得 DAST 使用起来非常方便。其他应用程序安全测试方法不包括广泛的漏洞测试。此外，DAST 在运行时查找源代码中的漏洞，这意味着 DAST 不需要重新构建应用程序来测试漏洞。

将 DAST 集成到 SDLC

软件开发生命周期 (SDLC) 是软件开发中的一个术语，是一个统一整个软件或应用程序开发过程的框架。无论正在开发的软件类型如何，预先构建的软件开发生命周期都是成功的关键。

将 DAST 工具集成到 SDLC 中也是构建安全应用程序的关键。

DAST 的主要重点是在 SDLC 的早期阶段识别漏洞，使开发团队能够在问题变得更严重之前解决问题。 DAST 被引入软件开发生命周期 (SDLC)，以允许开发人员在黑客利用漏洞之前修复漏洞。

开发人员、测试人员和项目经理在整个软件开发生命周期中使用不同的扫描技术。在 DAST 解决方案兴起之前，团队很难将扫描结果集成到开发生命周期中。将 DAST 集成到 SDLC 流程中的组织比没有的组织具有竞争优势。动态应用安全测试是综合应用安全方案的重要组成部分，它可以检测和防止漏洞被引入软件应用程序，以及检测现有漏洞。

DAST的六大优势

DAST 是一种相对较新的测试实践，专注于在运行时评估软件应用程序的安全性。可以在生产环境中进行测试，因此具有以下6大优势：

1、不需要应用程序语法知识

DAST 几乎不需要了解应用程序的编程语言，市场上的自动扫描工具可以根据输入和输出测试应用程序。换句话说，DAST 工具不依赖于特定语言，这使其成为比手动代码审查或渗透测试更灵活的测试方法。

2、误报率低

与其他应用程序安全测试方法相比，DAST 扫描工具很少导致误报，因为测试是端到端的，无论组件、语言和平台如何。

3、可以扫描复杂结构

随着微服务和函数式编程的兴起，应用架构和代码库变得更加复杂。单一单体应用程序的时代已成为过去。现代应用程序由不同团队或公司构建的多个组件和系统组成。由于 DAST 使用其 Web 界面来运行应用程序和服务，因此它可以测试所有这些组件和系统相互交互的结果，并且无需深入了解每个组件即可发现漏洞。

4、模拟真实世界的安全攻击

DAST 扫描工具并非设计用于在局域网内工作，因此它们的方法与典型的外部攻击一致。它模拟现实世界的攻击，在黑客尝试攻击应用程序之前为他们构建安全墙。

5、集成到 SDLC

企业正在 SDLC 中引入 DAST，以减少其应用程序在 CI/CD 管道阶段的漏洞和安全风险，从而减少安全漏洞可能造成的损害。

6、轻松设置和连续扫描

DAST 易于设置并持续扫描安全漏洞，让开发和管理团队免去后顾之忧。

总结

谈到安全性，没有比测试更重要的维护安全性的方法了。动态应用程序安全测试可以帮助您在错误变得灾难性之前发现并修复错误。通过这篇文章，我们对DAST有了基本的了解，所以在以后的文章中，我们会继续介绍软件安全领域的相关内容，敬请期待！