1. 无法测试源代码
DAST 在应用程序运行时对其进行测试,并像攻击者一样与应用程序交互。这意味着它无法分析源代码来发现安全问题。它只能发现正在运行的应用程序中可见的漏洞。
2. API 效率较低
对于没有用户界面的应用程序(如 API),DAST 的效果较差。这是因为 DAST 模拟了对应用程序用户界面的攻击,而 API 则缺乏这种攻击。
3. 需要正在运行的应用程序
DAST 测试运行状态下的应用程序。决策者电子邮件列表 您需要一个已启动并正在运行的应用程序版本才能进行 DAST。在开发的所有阶段,应用程序都可能无法正常运行。
4. 误报和漏报
DAST 有时会报告实际上不存在的漏洞(误报)或未报告实际漏洞(漏报)。这需要人工验证 DAST 发现。
OWASP 推荐的 DAST 工具列表
OWASP 建议使用多种 DAST 工具进行有效的安全测试。以下是一些顶级工具的详细列表:
1. 阿克托
Akto通过与 CI/CD 管道无缝集成、自动执行定期扫描并覆盖包括 OWASP Top 10 在内的各种漏洞来支持动态应用程序安全测试 (DAST)。它通过高效扫描优化性能,通过分析流量模式减少误报,并提供详细的基于风险的报告来确定补救措施的优先级。
阿克托
2. OWASP ZAP(Zed 攻击代理)
OWASP 维护着一款开源 DAST 工具 OWASP ZAP。它通过模拟攻击来识别 Web 应用程序中的安全漏洞。ZAP 包括自动扫描器等功能以及一套用于手动测试的工具。它的可扩展性和积极的社区支持使其成为安全专业人士的最爱。