带外应用安全测试(OAST)

什么是OAST安全测试?

带外应用程序安全测试(Oast)使用外部服务器查看其他不可见的漏洞。介绍了进一步改善达斯动态应用安全测试)模型。beplay官网可以赌PortSwigger是OAST和Burp Collaborator的先驱。这为Burp Suite增加了OAST功能——使该方法更容易访问。

OAST测试做了什么,其他方法不能?

一个beplay体育能用吗web应用程序可以包含任意数量的安全漏洞。这些错误中有很多是众所周知的,但是漏洞经常在旧和新的软件中发现。复合这是Web应用程序 - 以及他们编码的语言 - 往往是在不断发展beplay体育能用吗的情况下。没有什么能保持不变。

这种情况的动态性质使事情变得棘手。这意味着没有多少测试 - 并且没有技术组合 - 永远可能会在应用中找到每个潜在的漏洞。即使是这样,情况也不会持续很长时间。安全专业人士与网络犯罪分子持续竞争,失败的后果可能是毁灭性的。

不可见的漏洞- DAST

DAST的主要卖点一直是它可以产生非常高质量的结果。如果您正在浏览使用此方法生成的报告,那么几乎可以确定您正在查看实际的漏洞。这些信息可以直接传递给您的开发团队进行修复。

但是,当用于隔离时,动态测试努力检测某些类型的安全漏洞。例如,盲目和异步错误很容易错过。正如您将在下面那样看到的,使用Oast增强动态测试可以解决这个问题。

误报 - 斯特斯

SAST(静态应用安全测试)是另一种安全测试的常用方法。它有效地采用了相反的动态测试方法。Dast认为应用程序作为攻击者的应用程序可能 - 来自外部 - SAST看着代码本身。这种方法使其具有不同的福利和缺点。

这里的主要问题是,因为SAST实际上并不执行任何代码,它只能看到“可能”发生了什么。这意味着,一般来说,SAST将产生比DAST更大、更杂的结果集。这种干扰以误报的形式出现。这些将是真正的弱点,但要确定哪些是真正的弱点需要时间和金钱。

想了解更多关于beplay体育能用吗Web应用程序安全测试

OAST如何工作?

OAST改进了DAST安全测试返回的结果。在许多方面,它本身就是一种动态方法,尽管它可以看到“拐角”。这是因为“动态应用程序安全测试”实际上只是表示一个不能看到应用程序内部工作的测试。这也可以用来描述OAST。

从外面攻击

传统的动态测试以其简单而优雅。本质上,它向目标应用程序发送有效负载,并分析返回的响应——就像真正的攻击者可能会做的那样:

DAST安全性测试

当您发送一个DAST有效载荷时,您的目标返回一个提示存在漏洞的响应,您可以非常确定它是真实的。动态测试已经取得了成功,因为它在这些情况下工作得很好。

但是,如果目标应用程序没有向有效负载发送响应,即使目标实际上是脆弱的呢?当应用程序是异步运行时,这是一个特别的问题。传统的DAST技术不能单独看到它。

看看地平线

这就是OAST的作用所在。当Portbeplay官网可以赌Swigger引入Burp Collaborator时,OAST是该领域的革命性补充。它允许Burp Suite检测大量的新bug,包括许多盲目SQL注射(SQLi),盲目的跨站脚本XSS),盲操作系统命令注入漏洞。

Burp Collaborator通过在动态测试过程中引入新的通信通道来执行OAST:

Burp Collaborator如何工作

那么,这里实际发生了什么?好吧,正如我们上面提到的那样,Burp Collaborator可以搜索巨大的漏洞,曾经是Dast测试一旦看不见的。

如果一个漏洞是盲目的,那么当我们发送测试攻击时,它不会向我们发送任何有用的响应——即使该攻击成功了。我们得想个办法绕开这事。带外测试方法是旁路测试。这是通过发送一个攻击有效负载来实现的,该负载导致与我们控制的位于目标域之外的外部系统进行交互。

oast简单的方式

使用Burp Collaborator,这很容易做到 - 即使您不控制外部系统以用于此目的。Burp Suite Enterprise EditionBurp Suite Professional.都可以与Burp Collaborator Server进行通信以进行测试。如果您宁愿,那么您可以始终配置私人服务器来执行同样的事情。

Burp Collaborator可以识别精确的bepaly下载 负责它接收的每个交互的有效载荷。因此,如果从目标返回有用的东西,你将确切地知道触发它的东西。此过程主要设计为自动化 - 并坐在Burp扫描仪内。对于高级用户,Burp Suite Professional还包括手动Oast工具。

在乐队中测试的优点

Oast安全测试Venn图

您可以看出,自动OAST是一种强大的技术,可以添加到安全测试仪的阿森纳。上面的Venn图表显示了Oast如何大大增加安全问题Dast可以识别的问题。其中一些也可能被斯派工具拾取,但在许多情况下,这将不太可能。

而Oast随着传统的动态测试而具有相同的优点。它很少产生误报 - 这意味着其报告可以信任。

和DAST一样,OAST也不知道应用程序是用什么语言编写的。即使你想扫描多个网络应用,也不需要多个软件。beplay体育能用吗这很适合搭配Burp Suite Enterprise Edition巨大可扩展性。您的整个Web产品组合beplay体育能用吗现在可以通过单件软件扫描。

OAST测试是否有任何缺点?

如果我们说OAST让测试变得完美,那是在说谎。没有方法。总有一些漏洞是DAST和OAST看不到的——就像有些其他的漏洞SAST会漏掉一样。

自动Web安全扫描不beplay体育能用吗是安全漏洞的Panacea。它应始终与常规手册一起使用渗透测试。这种方法将有助于保持您的web存在的安全性和兼容性。beplay体育能用吗

beplay官网可以赌Portswiggg触发器是在推出Burp Collaborator时的Oast测试的先驱。此功能可作为Burp套件企业版和Burp Suite Professional的一部分。有关的更多信息bepaly下载app 以及如何适应您的特定用例,请参阅以下资源:

客户报价

能够调整和微调请求工作流,使其对所有工具(扫描仪,Repeater,入侵者,Extender)透明,这对我来说是无价的,以适当测试多步骤操作,调整CSRF令符,以便扫描工作。有了各种各样的extender,几乎所有的事情都可以直接从Burp Suite完成,而不需要使用Python脚本。我广泛使用OAST和IAST,这是渗透测试的完美组合。资料来源:TechValidate对Portswigger客户beplay官网可以赌的调查

查看更多客户故事

AndrejŠimko

安全助理经理