为了发现软件的漏洞和缺陷,确保Web应用程序在交付之前和交付之后都是安全的,就需要利用Web应用安全测试技术识别Web应用程序中架构的薄弱点和漏洞,并且必须赶在网络黑客找到和利用它们之前。

Web应用安全测试技术经过多年的发展,目前业界常用的技术主要分为3大类别。

DAST:动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。

SAST:静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。

对比项 DAST SAST IAST
测试对象 Web应用程序 Web应用程序 APP的漏洞 Web应用程序 APP的漏洞
商业产品 AppScan、AWVS、webinpsect、burpsuite Fortify、Checkmarx 默安-雳鉴IAST、新思Seeker软件、开源网安SecZone VulHunter、墨云VackBot、悬镜灵脉IAST等,国外:Contrast Security等
开源产品 Owasp ZAP、Xray Raptor、RIPS、Seay源代码审计系统、VCG等 百度RASP等
部署成本
使用成本

较低, 基本无需人工验证 | 高, 人工排除误报 | 低, 基本没有误报 |
| 漏洞检出率 | 中 | 高 | 较高 |

https://blog.csdn.net/qq_29277155/article/details/92411079

分类: web

标签:   安全