GitLab
·
引入GitLab基于浏览器的DAST主动检查
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
GitLab发布基于浏览器的动态应用安全测试(DAST)主动检查,取代ZAP警报6,提高Web应用程序漏洞检测效率。用户可通过添加CI/CD变量禁用GitLab主动检查并重新启用ZAP警报。主动检查定义一系列攻击,使用YAML编写以最小化更新或添加新检查所需的时间。
🎯
关键要点
- GitLab发布基于浏览器的动态应用安全测试(DAST)主动检查,取代ZAP警报6。
- 主动检查提高了Web应用程序漏洞检测的效率。
- 用户可以通过添加CI/CD变量禁用GitLab主动检查并重新启用ZAP警报。
- 主动检查定义了一系列攻击,使用YAML编写以简化更新或添加新检查的过程。
- 主动检查在DAST扫描的主动扫描阶段运行,识别特定弱点的易受攻击性。
- 不同类型的攻击用于检测不同种类的弱点,包括匹配响应攻击、时序攻击和回调攻击。
- 匹配响应攻击通过HTTP请求发送攻击负载,并在HTTP响应体中搜索意外暴露的内容。
- 时序攻击通过HTTP响应返回的时间来判断攻击是否成功,需多次成功才能注册为弱点。
- 回调攻击用于确定目标Web应用程序是否意外允许数据暴露给外部实体。
- 漏洞研究团队使用YAML编写主动检查,以减少更新或添加新检查所需的时间。
➡️
