测试人员无法访问源代码,而是通过公开的接口测试应用程序。这种类型的测试检查应用程序在其操作环境中遇到场景时是否按预期运行。
黑盒测试
灰盒测试
灰盒测试结合了黑盒和白盒测试方法。虽然测试人员无法完全访问应用程序的内部工作原理,但他们对其内部流程有一定的了解。
这使得他们能够在更好地理解系统逻辑的情况下设计测试用例。决策者电子邮件列表 在 DAST 环境中,测试人员可以在了解应用程序的 API 定义或架构图的情况下进行灰盒测试。这有助于发现黑盒测试可能无法检测到的漏洞。
灰盒测试
OWASP DAST 实施的真实示例
以下是 OWASP DAST(动态应用程序安全测试)实施的一些真实示例,以说明组织如何使用这种方法来增强其安全态势:
1. 电商平台安全测试
场景:一家电子商务公司希望确保其 Web 应用程序能够抵御常见漏洞,例如SQL 注入、跨站点脚本 (XSS)以及 OWASP Top 10 中列出的其他漏洞。
执行:
使用的工具: OWASP ZAP(Zed 攻击代理)
流程:安全团队将 OWASP ZAP 集成到他们的 CI/CD 管道中。每次构建和部署都会触发自动扫描以识别潜在漏洞。
结果:定期的 DAST 扫描使团队能够在攻击者利用之前检测并修复安全问题,从而确保更安全的客户购物体验
2. 银行应用程序漏洞评估
场景:银行需要确保其网上银行平台的安全,尤其是考虑到所处理的数据的敏感性。
执行:
