Jump to content

Динамическое тестирование безопасности приложений

Динамическое тестирование безопасности приложений (DAST) представляет собой процесс нефункционального тестирования для выявления слабых мест и уязвимостей безопасности в приложении. Этот процесс тестирования может выполняться как вручную, так и с использованием автоматизированных инструментов. Ручная оценка приложения предполагает вмешательство человека для выявления недостатков безопасности, которые могут ускользнуть от автоматизированного инструмента. Обычно ошибки бизнес-логики, проверки состояния гонки и некоторые уязвимости нулевого дня можно выявить только с помощью ручных оценок.

С другой стороны, инструмент DAST — это программа, которая взаимодействует с веб-приложением через веб-интерфейс с целью выявления потенциальных уязвимостей безопасности в веб-приложении и недостатков архитектуры. [1] Он выполняет тест черного ящика . В отличие от инструментов статического тестирования безопасности приложений , инструменты DAST не имеют доступа к исходному коду и поэтому обнаруживают уязвимости путем фактического проведения атак.

Инструменты DAST позволяют проводить сложное сканирование, обнаруживать уязвимости с минимальным взаимодействием с пользователем после настройки имени хоста, параметров сканирования и учетных данных аутентификации. Эти инструменты попытаются обнаружить уязвимости в строках запросов, заголовках, фрагментах, командах (GET/POST/PUT) и внедрении DOM.

Обзор [ править ]

Инструменты DAST облегчают автоматизированную проверку веб-приложения с явной целью обнаружения уязвимостей безопасности и должны соответствовать различным нормативным требованиям. Сканеры веб-приложений могут искать самые разные уязвимости, такие как проверка ввода/вывода (например, межсайтовый скриптинг и внедрение SQL ), конкретные проблемы приложений и ошибки конфигурации сервера.

Коммерческие сканеры и сканеры с исходным открытым кодом

Коммерческие сканеры — это категория инструментов веб-оценки, которые необходимо приобретать. Некоторые сканеры включают в себя некоторые бесплатные функции, но большинство из них необходимо купить, чтобы получить полный доступ к возможностям инструмента.

Сканеры с открытым исходным кодом часто бесплатны для пользователя.

DAST strengths [ edit ]

Эти инструменты могут обнаружить уязвимости финальных версий- кандидатов перед отправкой. Сканеры имитируют злонамеренного пользователя, атакуя и проверяя, выявляя результаты, которые не входят в ожидаемый набор результатов, что позволяет реалистично моделировать атаку. [2] Большим преимуществом этих типов инструментов является то, что они могут сканировать круглый год и постоянно искать уязвимости. Поскольку регулярно обнаруживаются новые уязвимости, это позволяет компаниям находить и исправлять уязвимости до того, как они смогут быть использованы. [3]

Будучи инструментом динамического тестирования, веб-сканеры не зависят от языка. Сканер веб-приложений способен сканировать веб-приложения, управляемые механизмом. Злоумышленники используют одни и те же инструменты, поэтому, если инструменты могут найти уязвимость, то и злоумышленники смогут это сделать. [4]

DAST weaknesses [ edit ]

При сканировании с помощью инструмента DAST данные могут быть перезаписаны или вредоносные полезные данные могут быть внедрены на соответствующий сайт. Сайты следует сканировать в производственной, но непроизводственной среде, чтобы обеспечить точные результаты и одновременно защитить данные в производственной среде.

Поскольку инструмент реализует метод динамического тестирования , он не может охватить 100 % исходного кода приложения, а затем и самого приложения. Пентестер должен проверить покрытие веб-приложения или его поверхности атаки , чтобы узнать, правильно ли настроен инструмент и способен ли он понять веб-приложение.

Инструмент не может реализовать все варианты атак на данную уязвимость. Таким образом, инструменты обычно имеют заранее определенный список атак и не генерируют полезные данные для атаки в зависимости от тестируемого веб-приложения. Некоторые инструменты также весьма ограничены в понимании поведения приложений с динамическим контентом, таких как JavaScript и Flash .

См. также [ править ]

Ссылки [ править ]

  1. ^ Критерии оценки сканера безопасности веб-приложений, версия 1.0 , WASC, 2009 г.
  2. ^ «САСТ против ДАСТ» . Исследовательский центр G2 . Архивировано из оригинала 3 мая 2020 г.
  3. ^ «Важность регулярного сканирования уязвимостей» . ООО «АппЧек» . Архивировано из оригинала 06 августа 2020 г.
  4. ^ Башвиц, Гади. «Плюсы и минусы DAST» . Яркая охрана . Проверено 21 марта 2023 г.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: d484fce3a72f0e8ff9489a1e963fa7fd__1713031380
URL1:https://arc.ask3.ru/arc/aa/d4/fd/d484fce3a72f0e8ff9489a1e963fa7fd.html
Заголовок, (Title) документа по адресу, URL1:
Dynamic application security testing - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)