在上篇文章中，我們了解了 SAST 的概念、優(yōu)劣和使用的工具，并在文章里提到了另一個軟件安全領域里的重要技術 DAST。本文將會詳細介紹 DAST 的概念、重要性及其工作原理。

DAST（Dynamic Application Security Testing）是在應用程序處于生產(chǎn)階段時發(fā)現(xiàn)安全漏洞的過程，它包括使用各種測試工具進行手動和自動化測試。

這是一種黑盒測試的類型，測試者無需了解架構、網(wǎng)絡或者代碼，而是從一個惡意攻擊者的角度來測試應用程序。應用程序依賴于輸入和輸出運行，這意味著如果用戶的輸入有疑點，在響應上會有反饋。

DAST 測試可以在正式投入使用之前幫助你在軟件中發(fā)現(xiàn)漏洞。它不是為特定軟件而設計的，而是在易受攻擊的應用層上工作。

為什么動態(tài)應用安全測試（DAST）如此重要？

根據(jù) Internet Live Stats 的數(shù)據(jù)，全球有超過17億個網(wǎng)站，因此安全漏洞的數(shù)量在不斷增加也就不足為奇了。CNBC 的一項研究顯示，超過75%的應用程序在某種程度上存在漏洞，而這些漏洞不會很快消失，這就是應用程序安全測試（AST）的用武之地。

南半球的蝴蝶扇動一下翅膀就能在北半球引發(fā)一場臺風，開發(fā)人員輕微的安全錯誤（例如，用戶輸入驗證不當、服務器版本泄露和使用易受攻擊的軟件庫等）也有可能導致重大的安全問題。

而采用 DAST，可以讓開發(fā)人員在構建應用程序時不必完全依賴自己的知識和過往經(jīng)驗。通過在軟件開發(fā)生命周期（SDLC）中執(zhí)行 DAST，開發(fā)人員可以在軟件公開部署之前捕獲應用程序中的漏洞。如果不檢查這些漏洞而直接部署應用程序，可能會導致數(shù)據(jù)泄露，進而造成重大的經(jīng)濟損失和損耗品牌聲譽。在軟件開發(fā)生命周期（SDLC）的某個階段，人為錯誤將不可避免，而在 SDLC 中越早發(fā)現(xiàn)漏洞，修復的成本就越低。

當 DAST 成為 CI/CD 流水線的一部分時，DevSecOps 就誕生了。對 Fortify on Demand（FoD）漏洞數(shù)據(jù)的分析顯示，在超過11000個網(wǎng)絡應用程序中，94%的程序含有安全功能的漏洞，而代碼質量和 API 濫用問題在過去4年里大約增加了一倍。

DAST 的2種類型

大部分人認為DAST是一個自動化的方式，但事實并非如此。在廣泛意義上，動態(tài)應用安全測試被分為兩類：

• 手動 DAST：當涉及到保護應用程序的安全時，軟件漏洞掃描工具和滲透測試工具可以在很大程度上發(fā)揮作用，但它們也會存在疏漏。這就是手動 DAST 施展拳腳的地方，他們可以利用自己的經(jīng)驗和相關知識來發(fā)現(xiàn)自動掃描工具可能會忽略的漏洞。手動測試包括安全專業(yè)團隊測試應用程序的漏洞，這些漏洞通常被自動漏洞掃描工具所遺漏。

• 自動 DAST：自動化動態(tài)測試包括使用軟件測試應用程序并為其提供所需數(shù)據(jù)。這種類型的測試包括使用爬蟲、Fuzzer 和 Regex 等方法來尋找和替換重要的關鍵詞，模擬一次真正的攻擊從而導致不同類型的漏洞，如SQL注入、跨站腳本攻擊和服務器端請求偽造等。

DAST 工作原理

DAST 掃描工具會在正在運行的應用程序中查找漏洞，然后在發(fā)現(xiàn)了 SQL 注入攻擊、跨站腳本（XSS）攻擊的漏洞時自動發(fā)送告警。因為 DAST 工具具備在動態(tài)環(huán)境中運行的能力，它們可以檢測到 SAST 工具無法識別的運行時缺陷。

假如應用程序是一棟大樓，那么 DAST 掃描工具可以被認為是一個保安。并且這個保安不僅僅是確保門窗已鎖好，還會身體力行地測試各種闖入大樓的方法，例如撬開門鎖或打破窗戶。完成這項檢查后，保安會向大樓經(jīng)理匯報并解釋他是如何闖入大樓的。

DAST 會測試所有種類的 endpoint，包括隱藏的 endpoint，并觸發(fā)不同種類的攻擊以發(fā)現(xiàn)安全漏洞。DAST 的自動化測試工具通過模擬對應用程序的惡意攻擊識別出漏洞，這是在日常使用過程中難以發(fā)現(xiàn)的。

由于 DAST 可以對應用進行端到端的測試，而無需進入源代碼，所以不需要事先了解所使用的編程語言。這使得 DAST 使用起來十分方便。其他應用程序安全測試方法并未涵蓋廣泛的漏洞測試。此外，DAST 在運行時查找源代碼中的漏洞，這意味著 DAST 不需要重新構建一個應用程序來測試漏洞。

將 DAST 集成到 SDLC 中

軟件開發(fā)生命周期（SDLC）是軟件開發(fā)中的一個術語，這是一個統(tǒng)一了整個軟件或應用程序開發(fā)流程的框架。無論所開發(fā)的軟件類型是什么，一個預先構建好的軟件開發(fā)生命周期對成功至關重要。

將 DAST 工具集成到 SDLC 中，也是構建一個安全的應用程序的關鍵。

DAST 的主要關注點是在 SDLC 早期階段識別出漏洞，從而使開發(fā)團隊能夠在問題變得更嚴重之前解決它們。DAST 被引入到軟件開發(fā)生命周期（SDLC）中， 可以讓開發(fā)人員在黑客利用漏洞之前將漏洞修復。

開發(fā)者、測試者以及項目經(jīng)理在整個軟件開發(fā)生命周期期間采用不同的掃描技術。而在 DAST 解決方案興起之前，對于團隊而言將掃描結果集成到開發(fā)生命周期中是十分困難的。將 DAST 整合到 SDLC 過程中的企業(yè)比那些沒有整合的組織更具競爭優(yōu)勢。動態(tài)應用安全測試是一個全面的應用安全計劃的重要組成部分，它可以檢測和防止漏洞被引入到軟件應用中，也可以檢測現(xiàn)有的漏洞。

DAST 的6大優(yōu)勢

DAST 是一種相對較新的測試實踐，它側重于在運行時評估軟件應用程序的安全性，它可以在生產(chǎn)環(huán)境中進行測試，因此它有以下6大優(yōu)勢：

1、 無需掌握應用程序的語法知識

DAST 幾乎不需要了解應用程序的編程語言，市面上的自動掃描工具可以根據(jù)輸入和輸出測試應用程序。換言之，DAST 工具并不與特定的語言綁定，這使得它成為比人工代碼審查或滲透測試更敏捷的測試方法。

2、 誤報率低

與其他應用安全測試方法相比，DAST 掃描工具導致的誤報非常少，因為無論組件、語言和平臺如何，都是端到端測試。

3、可以對復雜架構進行掃描

隨著微服務和函數(shù)式編程的興起，應用程序架構和代碼庫變得更加復雜。單一的單體應用的時代已經(jīng)成為“過去式”?，F(xiàn)代的應用程序由多個組件和系統(tǒng)組成，這些組件和系統(tǒng)是由不同團隊或是不同公司構建的。由于 DAST 使用其 Web 界面運行應用程序和服務，因此它可以測試所有這些組件和系統(tǒng)相互交互的結果，并且可以在不需要對每個組件有太多深入了解的情況下發(fā)現(xiàn)漏洞。

4、模擬現(xiàn)實世界的安全攻擊

DAST 掃描工具并不是為在局域網(wǎng)內(nèi)部工作而設計的，所以它們的方法與典型的外部攻擊一致。它模擬了現(xiàn)實世界的攻擊，在黑客試圖攻擊應用程序之前就為其構筑安全的城墻。

5、集成到 SDLC

企業(yè)在 SDLC 中引入 DAST，以減少其應用程序在 CI/CD 流水線階段的漏洞和安全風險，從而降低安全漏洞可能造成的損失。

6、設置簡單且持續(xù)掃描

DAST 可以輕松設置并且會持續(xù)不斷地進行掃描以檢查安全漏洞，這使得開發(fā)和管理團隊無需提心吊膽。

總? ?結

當提到安全，沒有比測試更重要的維護安全的方式了。動態(tài)應用安全測試可以幫助你在漏洞釀成大禍之前發(fā)現(xiàn)并修復它。通過本文，我們對 DAST 有了基本的了解，那么在未來的文章中我們會繼續(xù)介紹軟件安全領域的相關內(nèi)容，保持關注吧！