Динамическое тестирование безопасности приложений
Динамическое тестирование безопасности приложений (DAST) представляет собой процесс нефункционального тестирования для выявления слабых мест и уязвимостей безопасности в приложении. Этот процесс тестирования может выполняться как вручную, так и с использованием автоматизированных инструментов. Ручная оценка приложения предполагает вмешательство человека для выявления недостатков безопасности, которые могут ускользнуть от автоматизированного инструмента. Обычно ошибки бизнес-логики, проверки состояния гонки и некоторые уязвимости нулевого дня можно выявить только с помощью ручных оценок.
С другой стороны, инструмент DAST — это программа, которая взаимодействует с веб-приложением через веб-интерфейс с целью выявления потенциальных уязвимостей безопасности в веб-приложении и недостатков архитектуры. [1] Он выполняет тест черного ящика . В отличие от инструментов статического тестирования безопасности приложений , инструменты DAST не имеют доступа к исходному коду и поэтому обнаруживают уязвимости путем фактического проведения атак.
Инструменты DAST позволяют проводить сложное сканирование, обнаруживать уязвимости с минимальным взаимодействием с пользователем после настройки имени хоста, параметров сканирования и учетных данных аутентификации. Эти инструменты попытаются обнаружить уязвимости в строках запросов, заголовках, фрагментах, командах (GET/POST/PUT) и внедрении DOM.
Обзор [ править ]
Инструменты DAST облегчают автоматизированную проверку веб-приложения с явной целью обнаружения уязвимостей безопасности и должны соответствовать различным нормативным требованиям. Сканеры веб-приложений могут искать самые разные уязвимости, такие как проверка ввода/вывода (например, межсайтовый скриптинг и внедрение SQL ), конкретные проблемы приложений и ошибки конфигурации сервера.
Коммерческие сканеры и сканеры с исходным открытым кодом
Коммерческие сканеры — это категория инструментов веб-оценки, которые необходимо приобретать. Некоторые сканеры включают в себя некоторые бесплатные функции, но большинство из них необходимо купить, чтобы получить полный доступ к возможностям инструмента.
Сканеры с открытым исходным кодом часто бесплатны для пользователя.
DAST strengths [ edit ]
Эти инструменты могут обнаружить уязвимости финальных версий- кандидатов перед отправкой. Сканеры имитируют злонамеренного пользователя, атакуя и проверяя, выявляя результаты, которые не входят в ожидаемый набор результатов, что позволяет реалистично моделировать атаку. [2] Большим преимуществом этих типов инструментов является то, что они могут сканировать круглый год и постоянно искать уязвимости. Поскольку регулярно обнаруживаются новые уязвимости, это позволяет компаниям находить и исправлять уязвимости до того, как они смогут быть использованы. [3]
Будучи инструментом динамического тестирования, веб-сканеры не зависят от языка. Сканер веб-приложений способен сканировать веб-приложения, управляемые механизмом. Злоумышленники используют одни и те же инструменты, поэтому, если инструменты могут найти уязвимость, то и злоумышленники смогут это сделать. [4]
DAST weaknesses [ edit ]
При сканировании с помощью инструмента DAST данные могут быть перезаписаны или вредоносные полезные данные могут быть внедрены на соответствующий сайт. Сайты следует сканировать в производственной, но непроизводственной среде, чтобы обеспечить точные результаты и одновременно защитить данные в производственной среде.
Поскольку инструмент реализует метод динамического тестирования , он не может охватить 100 % исходного кода приложения, а затем и самого приложения. Пентестер должен проверить покрытие веб-приложения или его поверхности атаки , чтобы узнать, правильно ли настроен инструмент и способен ли он понять веб-приложение.
Инструмент не может реализовать все варианты атак на данную уязвимость. Таким образом, инструменты обычно имеют заранее определенный список атак и не генерируют полезные данные для атаки в зависимости от тестируемого веб-приложения. Некоторые инструменты также весьма ограничены в понимании поведения приложений с динамическим контентом, таких как JavaScript и Flash .
См. также [ править ]
- Тестирование безопасности
- Статическое тестирование безопасности приложений
- Интерактивное тестирование безопасности приложений
Ссылки [ править ]
- ^ Критерии оценки сканера безопасности веб-приложений, версия 1.0 , WASC, 2009 г.
- ^ «САСТ против ДАСТ» . Исследовательский центр G2 . Архивировано из оригинала 3 мая 2020 г.
- ^ «Важность регулярного сканирования уязвимостей» . ООО «АппЧек» . Архивировано из оригинала 06 августа 2020 г.
- ^ Башвиц, Гади. «Плюсы и минусы DAST» . Яркая охрана . Проверено 21 марта 2023 г.