Найти в Дзене
OTUS. Онлайн-образование
6881 подписчик

Динамический анализ кода DAST

33
1 мин
В процессе трансформации DevOps в DevSecOps не обойтись без применения специальных подходов. Про SAST мы уже рассказывали, на очереди DAST. На практике динамические анализаторы кода позволяют находить такие уязвимости, как переполнение буфера, SQL-инъекции и так далее, причем происходит все по методу черного ящика. По сути, само использование DAST -- это уже существенный шаг в сторону DevSecOps-практик. Говоря об инструментах динамического анализа, следует сказать, что это, по сути, некая имитация работы пользователя с программным приложением. Когда речь идет о web-приложении, отправляются запросы, имитируется работа клиента, кликаются кнопки на фронтенде, посылаются искусственные данные из формы: скобки, кавычки, символы в различных кодировках. Задача -- посмотреть, каким образом приложение функционирует и обрабатывает внешние данные. Система дает возможность проверять шаблонные уязвимости в Open Source. При этом DAST ведь "не знает", какой Open Source мы применяем, поэтому просто кид

В процессе трансформации DevOps в DevSecOps не обойтись без применения специальных подходов. Про SAST мы уже рассказывали, на очереди DAST.

На практике динамические анализаторы кода позволяют находить такие уязвимости, как переполнение буфера, SQL-инъекции и так далее, причем происходит все по методу черного ящика. По сути, само использование DAST -- это уже существенный шаг в сторону DevSecOps-практик.

-2

Говоря об инструментах динамического анализа, следует сказать, что это, по сути, некая имитация работы пользователя с программным приложением. Когда речь идет о web-приложении, отправляются запросы, имитируется работа клиента, кликаются кнопки на фронтенде, посылаются искусственные данные из формы: скобки, кавычки, символы в различных кодировках. Задача -- посмотреть, каким образом приложение функционирует и обрабатывает внешние данные.

Система дает возможность проверять шаблонные уязвимости в Open Source. При этом DAST ведь "не знает", какой Open Source мы применяем, поэтому просто кидает «зловредные» паттерны, анализируя ответы сервера. И тут надо быть внимательным, т. к. если тест безопасности проводится на том же стенде, на котором работают тестировщики, возможны неприятные последствия. Среди возможных нюансов:

  1. Высокая нагрузка на сервер и сеть.
  2. Отсутствие интеграций.
  3. Вероятность изменения настроек анализируемого программного приложения.
  4. Отсутствие поддержки нужных технологий.
  5. Сложность настройки.

Таким образом, возможные риски надо учитывать. Идеальный вариант -- отдельный стенд для тестирования безопасности, изолированный от прочего окружения.

Важно учесть и тот факт, что это можно применять в качестве аналога нагрузочного тестирования. Например, на 1-ом этапе вы можете включить динамический сканер в 10 и более потоков чтобы узнать, что получится -- практика показывает, что ничего хорошего.

Ресурсы DAST

Пример ресурсов для использования:

-3

Тут отдельно можно выделить Burp Suite — не что иное, как "швейцарский нож", известный практически любому специалисту по информационной безопасности. Он очень удобен, его применяют многие. Очень рекомендуется к применению.

По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.

Хотите знать больше? Добро пожаловать на курс DevSecOps!

Бизнес и финансы
1,13 млн интересуются