DAST正迅速成为任何Web应用程序安全工具包中必不可少的部分。现代动态工具的多功能性带来的优势远远超出了典型的漏洞扫描方案。让我们看一下使DAST成为应用程序安全测试多功能工具的7件事情。

#1:测试每个网站和应用程序

动态应用程序安全测试(DAST)的最重要优势是能够 扫描所有网络资产,而不考虑来源,技术或源代码的可用性。现代Web应用程序通常是复杂的模板代码,外部库,旧业务系统的拼凑而成的程序,然后才是实际的自定义应用程序代码。 DAST是唯一可以处理所有这些情况并检查所生成的Web应用程序对用户和攻击者而言如何的测试方法,而不论其基础体系结构和技术如何。

#2:在任何环境中保持安全

使Web应用程序开发与传统软件开发区分开来的一件事是变革的快节奏。频繁部署的敏捷开发是 当天的订单,而引入新的依赖项,技术甚至语言的通知很少。因为DAST是在生成的应用程序上执行的,而不是在基础代码上执行的,所以它提供可靠的结果,并且无论您的应用程序环境甚至您的组织是否发生更改,都可以完全使用。

#3:在开发过程中进行安全性测试

长期存在 关于DAST的神话 是你不能使用它 开发中。幸运的是,这不再是事实,并且像Netsparker这样的工具可以很容易地实现。 集成到开发工作流程中。通过正确的集成设置,可以自动扫描提交中的漏洞,以在软件开发生命周期中尽早识别安全问题。通过及早发现并解决问题,您可以从头开始建立安全性,避免在以后的阶段发现和解决安全漏洞所带来的成本和延迟。

#4:检查生产部署中的漏洞

在应用程序安全性测试中,传统的分工是开发中的SAST,登台中的DAST和生产中的手动测试。但是就像在开发过程中可以使用现代DAST一样,它也可以用于扫描生产环境。实际上,这是新部署可以从中获得最大安全优势的地方,因为您可以快速评估实时环境的安全级别。最好的做法是定期扫描现有的生产部署,以检测由配置更改引起的任何问题或检查新发现的漏洞。

#5:将安全性集成到DevOps工作流程中

现代DAST的多功能性与工作流集成相结合,使您可以将应用程序安全性测试整合到DevOps流程中以进行构建 开发安全。这里的关键要求是自动化,而自动化又需要准确性,因此您不要对错误警报采取行动。对于Netsparker,您将获得 开箱即用的集成 使用流行的问题跟踪器和CI / CD工具,而基于Proof-Based的Scanning™可提供经过验证的结果,可以放心地将其自动化。这是建立系统安全计划的关键一步。

#6:简化渗透测试

手动渗透测试是动态Web应用程序安全性测试的开始方式,它仍然是安全性组合的重要组成部分。通过使用高质量的DAST工具,渗透测试人员(无论是内部还是外部)都可以使艰苦的工作自动化,以快速识别易受攻击的区域,并专注于确认和报告实际问题。对于Netsparker,许多常见漏洞会使用来自动确认。 基于证明的扫描™ 提供及时的结果,使测试人员可以专注于更复杂的漏洞。

#7:全面了解应用程序安全性

与单点解决方案相比,动态应用程序测试具有一个独特的优势:它可以提供您的整体视图 现实应用安全态势。我们已经看到,DAST可以测试所有可访问的网络资产,无论它们起源于何处,使用哪种编程语言以及由谁控制源代码。假设您的DAST工具与Netsparker一样准确,那么结果将使您对现在和现在的整体Web安全状态有个很好的了解。为了在整个Web环境中提供更多可见性,Netsparker还提供资产发现和检测功能 过时的网络技术.

没有DAST绝不离开家

需要明确的是,没有工具可以完成所有工作,尤其是在Web应用程序安全性如此复杂的领域。一个成熟的安全程序需要平衡的工具和流程组合才能有效并最大化测试覆盖范围,因此典型的“ SAST或DAST”讨论是 遗漏了重点。如果要涵盖所有基础,则需要静态和动态测试-以及更多。

但是,大多数安全测试工具只能解决其特殊难题,因此工具链中的任何空白都可能意味着安全方面的空白。这就是现代DAST多功能性真正发挥作用的地方。除了在质量保证和分级中进行动态测试的核心作用之外,它还可以在SDLC的其他位置使用,填补空白,补充现有工具,并提供至关重要的总体可见性。

DAST是应用程序安全工具箱中必不可少的多功能工具,因此无论您在安全旅途中的何处,都请确保随身携带它。

Source : //www.netsparker.com/blog/web-security/dast-multitool-web-application-security-testing/