研究 学院 beplay2018官网
bepaly下载网址 bepaly下载官网 关于 博客 职业 合法的 接触 经销商

带外应用程序安全测试(OAST)

什么是OAST安全测试?

带外应用程序安全测试(OAST)使用外部服务器查看其他不可见的漏洞。引入了它进一步改善dast((动态应用程序安全测试) 模型。beplay官网可以赌Portswigger是与Burp合作者Oast的先驱。这增加了Burp Suite的OAST功能 - 使该方法更容易访问。

OAST测试做其他方法不能做什么?

Webeplay体育能用吗b应用程序可以包含任何数量的安全漏洞。这些错误中有许多是广为人知的,但是漏洞定期在新旧软件中发现。更复杂的是,Web应用程序 - 及其所编码的语言往往正在持续开发。beplay体育能用吗很长一段时间都没有保持不变。

这种情况的动态性质使事情变得棘手。这意味着没有测试(也没有技术组合)可能在应用程序中找到所有潜在漏洞。即使这样做,情况也不会持续很长时间。安全专业人员一直与网络犯罪分子持续竞争,失败的后果可能是毁灭性的。

隐形脆弱性 - DAST

Dast的主要销售点一直是它可以产生非常高质量的结果。如果您要浏览使用此方法生产的报告,那么您几乎可以确定您正在查看实际漏洞。这些信息可以直接送给您的开发团队以固定。

但是,当用于孤立时,动态测试难以检测某些类型的安全漏洞。例如,很容易错过盲和异步错误。如下所示,使用OAST增强动态测试对于解决此问题有很长的路要走。

误报 - 萨斯特

SAST(静态应用程序安全测试)是安全测试的另一种常见方法。它有效地采取了相反的动态测试方法。DAST认为应用程序作为攻击者可能 - 从外部 - Sast看代码本身。这种方法为其提供了不同的好处和缺点。

这里的主要问题是,由于SAST实际上没有执行任何代码,因此只能看到“可能”正在进行的事情。这意味着通常,SAST会产生比DAST更大,更嘈杂的结果。这种噪音以误报的形式出现。其中将是真正的漏洞 - 但是要确定它们是哪个是花费时间和金钱。

想了解更多有关beplay体育能用吗Web应用程序安全测试

OAST如何工作?

OAST改善了DAST安全测试返回的结果。从许多方面来说,这本身就是一种动态方法,尽管可以看到“周围”。这是因为“动态应用程序安全测试”实际上仅表示无法看到应用程序内部工作的测试。这也可以描述Oast。

从外面进攻

传统的动态测试的简单性优雅。从本质上讲,它将有效载荷发送到目标应用程序并分析返回的响应 - 就像真正的攻击者一样:

DAST安全测试

当您发送DAST有效载荷,而您的目标通过暗示漏洞的响应回到您身边时,您可以确定它是真实的。动态测试已经取得了成功,因为它在这些情况下运行良好。

但是,即使目标应用程序实际上是脆弱的,目标应用程序也没有向有效载荷发送回复,该怎么办?当应用程序异步工作时,这是一个特殊的问题。仅传统的Dast技术就不会看到它。

看到地平线

这是Oast进来的地方。当Portswigger引入Burp合作者时beplay官网可以赌,Oast是该领域的革命性补充。它允许Burp Suite检测到大量新的错误,包括许多错误盲目注射(sqli),盲人跨站脚本((XSS)和盲人OS命令注射漏洞。

Burp合作者通过将新的通信渠道引入动态测试过程中来执行OAST:

Burp合作者的工作方式

那么,这里实际上发生了什么?好吧,正如我们上面提到的,Burp合作者可以搜索曾经看不见DAST测试的大量漏洞。

如果漏洞是盲目的,那么当我们发送测试攻击时,它也不会向我们发送任何有用的回应 - 即使该攻击成功。我们需要一种绕过这一点的方法。带外测试方法是旁路。它是通过发送攻击有效负载来完成的,该攻击有效负载与我们控制的外部系统进行交互,该系统位于目标域之外。

以简单的方式晒太阳

对于Burp合作者,这很容易做到 - 即使您不控制用于此目的的外部系统。bepaly下载软件 Burp Suite专业人士两者都可以与Burp Collaborator Server通信以进行测试。而且,如果您愿意,那么您始终可以配置专用服务器来执行相同的操作。

Burp合作者可以确定确切的bepaly下载 负责其收到的每个交互负责的有效载荷。因此,如果目标从目标恢复过来,您将确切知道是什么触发了它。此过程的设计主要是为了自动化 - 并坐在Burp扫描仪内。对于高级用户,Burp Suite Professional还包括手动OAST工具。

乐队测试的优势

OAST安全测试Venn图

如您所见,Automated Oast是一种强大的技术,可以添加到安全测试人员的武器库中。上图显示了OAST如何大大增加DAST可以识别的安全问题的数量。其中一些也可能是通过SAST工具来拾取的,但是在许多情况下,这不太可能。

OAST具有与常规动态测试相同的优势。它很少产生误报 - 这意味着可以信任其报告。

像Dast一样,OAST对使用应用程序的语言是不可知论的。即使您想扫描多个Web应用程序,也不需要多个软件。beplay体育能用吗这与bepaly下载软件 巨大的可扩展性。现在,可以通过一块软件beplay体育能用吗扫描您的整个网络投资组合。

OAST测试是否有缺点?

如果我们说Oast使测试变得完美,我们会撒谎。没有方法。总会有DAST和OAST看不见的漏洞 - 就像Sast会错过的其他漏洞一样。

自动化的Web安全扫beplay体育能用吗描不是安全漏洞的灵丹妙药。它应始终与常规手册一起使用渗透测试。这种方法将有助于确保您的网络存在既安全又合规。beplay体育能用吗

beplay官网可以赌Portswigger引入BURP合作者时是OAST测试的先驱。此功能作为Burp Suite Enterprise Edition和Burp Suite Professional的一部分集成。有关更多信息bepaly下载app 以及如何适合您的特定用例,请参阅以下资源:

客户报价

能够调整和微调请求工作流程,以使我对所有工具(扫描仪,中继器,入侵者,扩展器)透明,对于我正确测试多步操作,调整CSRF令牌是无价的,以便扫描起作用。有了各种不同的扩展器,几乎所有内容都可以直接从Burp Suite完成,而无需使用Python脚本。我广泛地使用了Oast和iAST,这是填充的完美组合。资料来源:Portswigger客户的TechValidatebeplay官网可以赌调查

bepaly下载官网

Andrejšimko

安全助理管理器