DAST 代表动态应用程序安全测试。 DAST 是测试 Web、移动和 API 应用程序以通过模拟攻击发现漏洞/安全漏洞的过程。

DAST 是使用自动扫描仪或手动渗透测试实践实时测试应用程序的过程。

大多数开发人员还没有听说过 DAST 扫描仪，因为它们主要由 appsec 和渗透测试人员使用。

DAST 发现了哪些漏洞？

大多数自动扫描程序会发现 SQL 注入、NoSQL 注入、XSS 等严重漏洞。逻辑错误、身份验证和授权缺陷等难以发现的漏洞通常由道德黑客、渗透测试人员和 AppSec 工程师完成。首选方法是编写可以作为 CI/CD 的一部分执行的自动化测试用例。

开发人员应该注意 DAST 吗？

需要注意！因为具有上述任何严重漏洞都可能导致数据泄露的后果。此外，大多数 DAST 扫描现在可以轻松集成到 CI/CD 管道中，完全自动化。

DAST技术堆栈独立的优点：独立于应用程序堆栈。它作为一个整体测试应用程序。在运行时的所有源代码和库都经过漏洞测试。

它不需要访问源代码。
误报率低：根据 OWASP 的基准项目，DAST 解决方案产生的误报率低于其他测试方法。
识别配置问题：DAST 擅长发现仅在应用程序运行时出现的安全漏洞。 此外，DAST 从外向内攻击应用程序，将其置于完美位置，以发现其他 AST 工具遗漏的配置错误。
逻辑漏洞：这些缺陷在开发早期很难检测到。 这些问题是由安全配置、数据和其他因素引起的，所以很难在非生产环境中检测到， 检测这些缺陷需要在编写测试用例并在开发/生产中连续执行它们。

DAST 的缺点
在代码中找不到漏洞的确切位置
测试可能很耗时。

以下是一些免费的 DAST 解决方案，你可以针对自己的实时应用程序安全地运行：

EthicalCheck：
API 的免费和自动化 DAST。
https://apisec-inc.github.io/pentest/

Burp Suite
编写你的测试
https://portswigger.net/burp/communitydownload