拥抱DAST与ASM的最佳结合

在动态应用安全测试（DAST）作为方法论与作为工具之间，常常存在理解上的混淆。它们如何相互关联又有什么区别？与攻击面管理（ASM）又有何关系？应用安全团队如何充分利用两者？

下面我们将探讨DAST作为方法论和作为工具如何与Detectify的工作相关联。具体来说，我们将解释Detectify的解决方案如何将DAST方法论应用于整个攻击面，实现应用安全测试的高度自动化。通过这些方法，我们甚至能在您用完早餐前就完成数百万个域名的检测。

手动与自动化安全测试的区别

动态应用安全测试（DAST）是从外部测试应用程序的方法论，就像用棍子从远处戳刺应用程序。DAST方法论会探测并向运行中的应用程序发送有效载荷，然后检查应用程序是否"尖叫"回应以检测潜在问题。

在实践中，渗透测试人员在执行红队任务时使用手动DAST方法论。渗透测试人员还可以进行代码审查，这是静态应用安全测试（SAST）的手动版本。

DAST工具的发展历程

DAST工具已经存在了二十多年，通常设计为结合爬取和模糊测试功能来测试隔离的应用程序。简而言之，DAST工具旨在以自动化方式实现黑客方法论。

当应用程序是单体架构时，测试隔离的应用程序是有效的，它们封装了所有功能（回想PHP单体架构的美好旧时光）。然而，随着现代技术架构的兴起，应用程序的边界变得模糊不清。因此，测试变得更加具有挑战性，因为功能现在分散在各个组件中，如微服务和云组件。漏洞出现在这些组件接口处并不罕见，特别是当它们以不同方式解释边缘情况时。

许多组织只识别包含最敏感数据的有限顶级资产列表，大部分攻击面没有任何覆盖

考虑到这一点，“传统DAST”（即DAST工具）往往以非常不可扩展的方式设计也就不足为奇了。传统DAST工具通常为攻击面中的每个应用程序或IP提供一个扫描配置文件。

我们知道，并非所有子域名都是平等创建的，也不具有相同的生命周期。此外，一个子域名可能不包含个人身份信息（PII），但可能具有未经授权的开放端口或容易遭受子域名接管。

Detectify能让您的预算比"传统"DAST工具走得更远。

表面监控 + 应用扫描 = 一流的AST解决方案

在Detectify，我们将DAST作为方法论并重新发明为一种方法。但这到底意味着什么？

首先，我们在表面监控和应用扫描产品中都使用DAST方法论。通过将DAST方法论作为我们平台的基础，我们设计了高度可扩展的解决方案，为客户提供更多价值。

Detectify通过在所有测试中使用内部构建的引擎和经过验证的有效载荷，超越了CVE匹配。我们运行的测试中超过30%与CVE无关。相反，我们专注于实际使用中的有效载荷。

我们通过利用众包驱动的DAST将DAST推向另一个层次。众包专注于漏洞的自动化，而不是为特定客户修复错误。一旦我们的道德黑客在广泛使用的系统（如CMS、框架或库）中发现已接受的漏洞，他们报告的发现就会自动化集成到我们的平台中。通过众包发现未记录的安全漏洞，我们能够超越CVE的覆盖范围。

表面监控

表面监控在域名级别运行持续检查，并通过发现您可能甚至不知道的资产以及每天三次扫描这些资产的漏洞来提供附加价值。该产品可以：

• 覆盖您的整个公共DNS足迹，可以处理10万+个子域名而没有任何问题
• 通过映射您使用的技术来指纹识别您的技术栈，只触发最相关的安全测试
• 帮助团队设置、执行和扩展可定制的安全策略，以便您专注于最重要的问题
• 运行基于真实世界有效载荷的测试，以发现云基础设施、内容分发网络（CDN）和应用程序中的错误配置和漏洞

应用扫描

人们通常将我们的产品"应用扫描"称为DAST扫描器。我们通过利用爬取、模糊测试和身份验证来发现通常无法通过无状态测试访问的资产中的漏洞，超越了"传统"DAST扫描器的能力。

我们在内部构建了扫描器，并利用从众包社区学到的知识对其进行了优化。

我们的爬虫处理单页面应用程序，并过滤具有重复内容的大型应用程序（如媒体和电子商务应用程序）。

我们强大的身份验证引擎安全地实现MFA身份验证，并可以重放用户行为。

自我黑客测试

正如我们前面提到的，我们将DAST作为方法论并重新发明为ASM的方法。通过持续实践发现和评估面向互联网的资产并寻找其漏洞和异常，Detectify形成了一个解决方案，为您提供整个攻击面的最全面覆盖。

发现组织的未知面向互联网资产然后扫描它们并不是相互排斥的（也不应该是）。这就是为什么您应该采取更全面的方法来覆盖您的攻击面。

请联系我们，了解您的团队如何开始收获DAST和ASM的双重好处。