发布时间:2022/10/28 09:51:08
品牌型号:联想ThinkPad E14
系统:Windows 10家庭版
软件版本:AppScan10.0.8
当今社会已然成为被软件定义的时代,无论是通讯、支付、餐饮、出行都离不开软件。各类软件中不仅包含了用户的个人信息,同时许多软件还涉及到用户的财产安全和生命安全。软件技术的巨大发展和应用同时也伴随着安全的危机,Web应用程序的测试经过多年发展,常见间的技术有三种,分别是DAST、SAST、IAST。那么,DAST是什么?有什么作用?下面我们来看详细介绍吧!
一、DAST是什么
首先来看DAST的定义,DAST是动态应用程序安全测试技术,是英文Dynamic Application Security Testing的缩写。
然后,再来看DAST的工作原理,为了判断应用程序是否容易被攻击,DAST通过模拟黑客攻击行为来训练应用程序。通过模拟攻击时,应用程序做出的反应,来分析遇到真实攻击时,应用程序的安全程度可以达到一个怎样的级别。
下面我们来看DAST的作用吧!
二、DAST有什么作用
除了上面介绍的DAST定义外,DAST还常被称为黑盒测试技术,也是当前市面上最为简单的Web应用安全测试方法之一,像许多安全工程师常用的AWVS、AppScan等产品便是基于DAST原理。
DAST主要的作用是测试Web应用程序的功能点,对于测试人员的要求也大大降低,即便测试人员不懂编程,对应用程序内部逻辑结构也不了解,不会区分测试对象的实现语言,也可以进行测试操作。
DAST的优缺点:
优点:(1)能发现大多数的高风险漏洞;(2)无需会代码,测试对象范围广泛;(3)支持当前主流编程语言开发的应用程序。
缺点:(1)覆盖范围有限,对含有AJAX页面、CSRF Token页面、验证码页面、API孤链、POST表单请求等无效;(2)测试对象单一,测试对象为HTTP/HTTPS的Web应用程序,对移动端App不能测试;(3)无法定位漏洞位置,不适合在DevOps环境中使用。
既然AppScan也是DAST技术,那么我们来看如何使用AppScan来进行安全测试吧!
如何使用AppScan进行安全测试?
关于AppScan进行安全测试,大致可以分为三个步骤:(1)选择扫描类型;(2)配置扫描;(3)分析扫描结果。
1.选择扫描类型
启动AppScan,在主界面中直接选择【web应用程序】,便可进入扫描配置阶段。
2.配置扫描
在扫描阶段,我们需要输入目标地址,然后登录管理员账户,再选择测试策略,以及选择测试优化方案,最后开启测试,待测试结束后便可分析漏洞。
3.分析漏洞
首先,AppScan会给出一份漏洞报告,根据报告大致可以了解存在什么样的漏洞。然后,选择柱状图可查看详细的漏洞,以及漏洞的解决方案。
三、总结
以上便是,DAST是什么?有什么作用的内容。DAST是一种动态应用程序安全测试技术,也被称为黑盒测试技术。DAST的主要功能是测试Web应用程序的功能点。AppScan是一款功能强大的DAST技术的测试工具,更多有关AppScan使用技巧,请持续关注AppScan中文网站!
