理解DAST：方法论与工具的区别

在动态应用安全测试（DAST）领域，人们常常混淆作为方法论的DAST和作为工具的DAST。它们之间有何关联，又有何不同？与攻击面管理（ASM）的关系如何？应用安全团队又该如何利用这两者？

下面我们将探讨DAST作为方法论和作为工具如何与Detectify的工作相关联。具体来说，我们将解释Detectify的解决方案如何将DAST方法论应用于整个攻击面，实现应用安全测试的高度自动化。通过这些方法，我们甚至能在您用早餐前就完成数百万个域的扫描。

手动与自动化安全测试的区别

动态应用安全测试（DAST）是从外部测试应用程序的方法论，就像用棍子远距离戳刺应用程序。DAST方法论通过向运行中的应用程序发送探测和有效载荷，然后检查应用程序是否"尖叫"回应，从而检测潜在问题。

在实践中，渗透测试人员在执行红队任务时使用手动DAST方法论。渗透测试人员也可以进行代码审查，这是静态应用安全测试（SAST）的手动版本。

DAST工具的发展历程

DAST工具已经存在了二十多年，通常设计为结合爬取和模糊测试能力来测试隔离的应用程序。简而言之，DAST工具旨在以自动化方式实现黑客方法论。

当应用程序是单体架构时（回想PHP单体的美好旧时光），测试隔离应用程序是有效的，因为它们封装了所有功能。然而，随着现代技术架构的兴起，应用程序的边界变得模糊不清。因此，测试变得更加具有挑战性，因为功能现在分布在各种组件中，如微服务和云组件。漏洞经常出现在这些组件的接口处，特别是当它们以不同方式解释边缘情况时。

许多组织只识别包含最敏感数据的有限顶级资产列表，大部分攻击面没有任何覆盖

考虑到这一点，“传统DAST”（即DAST工具）往往以不可扩展的方式设计也就不足为奇了。传统DAST工具通常为攻击面中的每个应用程序或IP提供一个扫描配置文件。

我们知道，并非所有子域都是平等的，也不具有相同的生命周期。此外，一个子域可能不包含个人身份信息（PII），但可能有未经授权的开放端口或容易受到子域接管攻击。

Detectify可以让您的预算比"传统"DAST工具走得更远。

表面监控 + 应用扫描 = 一流的AST解决方案

在Detectify，我们将DAST作为方法论，并将其重新发明为一种方法。但这具体意味着什么？

首先，我们在表面监控和应用扫描产品中都使用DAST方法论。通过将DAST方法论作为我们平台的基础，我们设计了高度可扩展的解决方案，为客户提供更多价值。

Detectify通过在所有测试中使用内部构建的引擎和经过验证的有效载荷，超越了CVE匹配。我们运行的测试中超过30%与CVE无关。相反，我们专注于实际使用的有效载荷。

我们通过利用众包驱动的DAST将DAST推向另一个层次。众包专注于漏洞的自动化，而不是为特定客户修复错误。一旦我们的道德黑客在广泛使用的系统（如CMS、框架或库）中发现已接受的漏洞，他们报告的发现就会自动化到我们的平台中。通过众包发现未记录的安全漏洞，我们能够超越CVE的覆盖范围。

表面监控

表面监控在域级别运行持续检查，并通过发现您可能甚至不知道的资产以及每天三次扫描这些资产的漏洞来提供附加价值。该产品可以：

• 覆盖您的整个公共DNS足迹，可以处理10万+个子域而没有任何问题
• 通过映射您使用的技术来指纹识别您的技术栈，只触发最相关的安全测试
• 帮助团队设置、执行和扩展可定制的安全策略，以便您专注于最重要的问题
• 运行基于真实世界有效载荷的测试，以发现云基础设施、内容分发网络（CDN）和应用程序中的错误配置和漏洞

应用扫描

人们通常将我们的产品"应用扫描"称为DAST扫描器。我们通过利用爬取、模糊测试和身份验证来发现通常无法通过无状态测试访问的资产中的漏洞，超越了"传统"DAST扫描器的能力。

我们在内部构建了扫描器，并利用从众包社区学到的知识对其进行了优化。

我们的爬虫处理单页应用程序，并过滤具有重复内容的大型应用程序（如媒体和电子商务应用程序）。

我们强大的身份验证引擎安全地实现MFA身份验证，并可以重放用户行为。

自我黑客攻击

正如我们前面提到的，我们将DAST作为方法论，并将其重新发明为ASM的一种方法。通过持续实践发现和评估面向互联网的资产，并寻找它们的漏洞和异常，Detectify形成了一个解决方案，为您提供整个攻击面的最全面覆盖。

发现组织的未知面向互联网资产然后扫描它们并不是相互排斥的（也不应该是）。这就是为什么您应该采取更全面的方法来覆盖攻击面。

请联系我们，了解您的团队如何开始收获DAST和ASM的好处。