DEV Community
·
应用安全测试类型
💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
应用安全测试分为静态分析安全测试(SAST)和动态分析安全测试(DAST)。SAST在应用运行前分析源代码,发现安全缺陷;DAST在应用运行时识别漏洞。常用工具包括SonarQube(SAST)和OWASP ZAP(DAST)。
🎯
关键要点
- 应用安全测试分为静态分析安全测试(SAST)和动态分析安全测试(DAST)。
- SAST在应用运行前分析源代码,发现逻辑、API、输入和错误处理中的安全缺陷。
- SAST工具如SonarQube、Checkmarx、Fortify和Veracode,能够立即突出显示关键缺陷,并在开发早期阶段进行白盒测试。
- DAST在应用运行时通过发送真实攻击模式来测试应用,发现运行时漏洞。
- DAST能够识别如破坏身份验证和SQL注入等漏洞,测试时会向登录表单发送特定输入。
- 如果应用响应不正确(例如,允许登录),则报告漏洞。
- DAST在应用运行后发现错误,并在渗透测试和发布前测试中进行黑盒测试。
- 常用的DAST工具包括OWASP ZAP、Burp Suite和Acunetix。
❓
延伸问答
什么是静态分析安全测试(SAST)?
静态分析安全测试(SAST)是在应用运行前分析源代码,以发现逻辑、API、输入和错误处理中的安全缺陷。
动态分析安全测试(DAST)如何工作?
动态分析安全测试(DAST)在应用运行时通过发送真实攻击模式来测试应用,识别运行时漏洞。
SAST和DAST有什么主要区别?
SAST在应用运行前分析源代码,而DAST在应用运行时测试应用,发现不同类型的安全缺陷。
有哪些常用的SAST工具?
常用的SAST工具包括SonarQube、Checkmarx、Fortify和Veracode。
DAST能识别哪些类型的漏洞?
DAST能够识别如破坏身份验证和SQL注入等运行时漏洞。
在应用安全测试中,什么是黑盒测试?
黑盒测试是在应用运行后进行的测试,DAST通常在渗透测试和发布前的测试中采用黑盒测试方法。
➡️
