DAST正在快速成为任何Web应用程序安全工具包的不可或缺的一部分。现代动态工具的多功能性带来了远远超出典型漏洞扫描方案的优势。让我们来看看7件事让Dast成为应用程序安全测试的多功能池。

#1:测试每个网站和应用程序

动态应用安全测试(DAST)最重要的优势是能力 扫描所有网络资产,无论原点,技术还是源代码可用性。现代Web应用程序通常复杂的模板代码,外部库,旧版业务系统的拼凑而成 - 并且只有实际的自定义应用程序代码。 DAST是测试所有这些情况的唯一方法,并检查所产生的Web应用程序,因为潜在的架构和技术如何。

#2:在任何环境中保持安全

将Web应用程序开发与传统的软件开发除外的突破性的变化步伐之一。频繁部署的敏捷开发是 当天的顺序,作为引入新的依赖性,技术,甚至是语言,非常少的通知。由于DAST在生成的应用程序上执行,而不是基础代码,因此无论应用程序环境中的更改甚至您的组织如何,它都不会提供可靠的结果,并且仍然完全可用。

#3:在开发期间运行安全测试

一个长期的 关于达斯的神话 是你不能使用它 开发中。幸运的是,这不再是真实的,并且可以很容易地获得netsparker等工具 综合到开发工作流程。使用正确的集成集成,可以自动扫描提交以在软件开发生命周期中尽早识别安全问题。通过早期查找和修复问题,您可以从上面构建安全性,并避免与在以后的阶段发现和解决安全错误相关的成本和延迟。

#4:检查生产部署以获取漏洞

传统的劳动力分工在应用安全测试中已被开发,达斯在分期和生产中的手动测试中。但就像在开发期间可以使用现代达斯时,它也可以用来扫描生产环境。事实上,这是新部署可以看到最大的安全优势的地方,因为您可以快速衡量实时环境的安全级别。它也是最好的做法,定期扫描现有的生产部署,以检测配置更改或检查新发现的漏洞所引入的任何问题。

#5:将安全性集成到Devops工作流程中

现代DAST的多功能性与工作流集成合并允许您将应用程序安全测试合并到Devops进程中以构建 devsecops。这里至关重要的要求是自动化,这反过来需要准确性,因此您不采取误报。在Netsparker的情况下,你得到了 开箱即用的集成 使用流行的问题跟踪器和CI / CD工具,而基于验证的Scanning™提供可信自动化的验证结果。这是建立系统安全计划的重要步骤。

#6:简化渗透测试

手动渗透测试是动态Web应用程序安全测试的启动方式,它仍然是安全组合的重要组成部分。通过使用优质的龙舌兰工具,穿透测试仪(无论是内部还是外部)可以自动化咕噜声,以便快速识别脆弱的区域,并专注于确认和报告真正的问题。在NetSparker的情况下,许多常见的漏洞是自动使用的 基于校验的Scanning™ 要提供准备结果,允许测试人员专注于更复杂的漏洞。

#7:获得应用程序安全性的广阔视野

动态应用测试与点解决方案相比具有独特的优势:它可以提供您的整体视图 现实寿命应用安全姿势。我们已经看到Dast可以测试所有可访问的Web资产,无论他们发起,他们使用哪种编程语言以及谁控制源代码。假设您的Dast工具与NetSparker一样准确,结果将在此提供对您的整体网络安全状态的非常好的主意。为了在您的Web环境中提供更多的可见性,NetSparker还具有资产发现和检测 过时的网络技术.

没有你的荷园,永远不要离开家

要清楚,没有任何工具,绝对是一切,特别是在一个与Web应用程序安全性复杂的区域中。一个成熟的安全计划需要平衡的工具和过程混合,以便有效和最大化测试覆盖,因此典型的“斯塔或DAST”讨论是 错过了这一点。如果您想涵盖所有基础,则需要静态和动态测试 - 以及更多。

但是,大多数安全测试工具只在其专门的拼图上工作,因此工具链中的任何差距都可能意味着安全性差距。这是现代达斯的多功能性真正闪耀的地方。除了在QA和暂存中动态测试的核心作用外,还可以在SDLC的其他点中使用,填补空白,补充现有工具,并提供重要的整体知识。

Dast是您APP SEC Toolbox中的基本Multitool,所以无论您在安全旅程中,都不确保您与您有所帮助。

Source : //www.netsparker.com/blog/web-security/dast-multitool-web-application-security-testing/