重新定义应用安全测试：智能扫描推荐与资产分类

平均而言，企业会漏测90%的复杂Web应用程序，这些正是攻击者青睐的目标。为了解决这个问题，我们推出了新功能，帮助应用安全团队了解除了核心应用之外，还有哪些资产可能需要进行深度测试。资产分类和扫描推荐基于攻击者侦察技术自动对发现的Web资产进行分类，并提供在哪里运行DAST（动态应用安全测试）的建议，弥合了整个攻击面上广泛测试与深度测试之间的差距。

为什么需要优先排序和推荐扫描？

有效扩展测试的困难引发了关键问题：究竟什么构成了适合深度测试的Web应用程序？为什么优先部署测试位置如此重要？

通常，Web应用程序是通过浏览器进行交互的东西。它通常在客户端-服务器架构中使用HTML构建。关键的是，它提供了交互元素，如表单、动态页面以及可能的数据库连接。

在应用安全中，特别是DAST，目标是在这些资产中发现漏洞。这首先涉及探索应用程序（爬取），然后与其元素交互（模糊测试）。当有大量内容可供爬取和交互时，这种方法最有价值，远不止一页静态HTML。如果资产缺乏这些交互元素，模糊测试器就无事可做，运行深度扫描只会浪费资源和CPU周期。因此，推荐哪些资产进行深度扫描对于效率至关重要。

见树又见林

为了解决这一挑战并消除猜测，我们很高兴推出新功能，旨在帮助您将测试重点放在最重要的地方：资产分类和扫描推荐。

如果您不知道资产的实际作用，如何决定测试什么？我们的新资产分类功能自动分析并分类在您的攻击面上发现的Web资产。识别丰富的Web应用程序、基本Web应用程序、API、服务器和客户端错误等。

该过程从识别潜在的Web应用程序开始。我们查看基本响应数据以确定是否正在提供Web应用程序，检查以下基本特征：

• Content-Type: text/html（其他类型如XML可能表示不可爬取的API）
• Status Code: 200 OK
• Body Length: 足够大（>100个字符）以表明不仅仅是最小响应

一旦识别出潜在的Web应用程序，下一步就是对其性质和复杂性进行分类，以确定它是否是可能需要进行更深测试的“复杂”应用程序。使用模仿黑客侦察的技术，它分析结合到评分算法中的属性。目前，这包括：

• 技术检测: 存在哪些特定的库、框架或技术？有多少？
• 头部分析: 某些头部（例如内容安全策略 - CSP）的存在和配置。
• 交互点: 登录表单或其他输入字段的存在。
• 正文长度: 响应正文的整体大小。

这种分类帮助团队快速理解每个发现资产的潜在用途、复杂性和交互性，即使是那些团队直接不知情的情况下出现的资产，以便他们能够有效地确定优先级。

智能扫描推荐：知道将DAST指向何处

基于资产分类，我们的新扫描推荐功能根据资产的分类（上述技术特征）及其对攻击者的可能吸引力提供智能建议。这有助于确定哪些Web应用程序需要通过深度爬取和模糊测试进行全面的DAST，利用了Detectify Crowdsource社区的漏洞研究和Detectify Alfred的AI构建评估。

我们知道确保所有基本Web应用程序都覆盖应用扫描是很困难的。您几十个或几百个Web应用程序中，哪些真正需要深度测试？哪些正在处理用户数据，甚至有许多黑客会针对的组件？

打破覆盖幻觉

新功能弥合了整个攻击面上广泛测试与深度测试之间的差距，使应用安全团队能够自信地将资源分配到最重要的资产上：表面监控提供全面的攻击面视图并测试漏洞。应用扫描在重要的地方通过高级爬取和模糊测试进行更深入的测试。盲目部署DAST并追逐无关目标影子的日子已经结束。是时候打破覆盖幻觉了。

扫描推荐和资产分类现已向Detectify客户提供。注册试用或预订演示以开始扫描。