logo

Command Palette

Search for a command to run...
Thuật ngữ Dynamic Application Security Testing (DAST)

DAST là gì (Kiểm tra Bảo mật Ứng dụng Động) ?

Kiểm tra bảo mật ứng dụng động, hay DAST, là một cách để kiểm tra bảo mật của ứng dụng khi nó đang chạy. Khác với SAST, vốn xem xét mã nguồn, DAST kiểm tra bảo mật bằng cách mô phỏng các cuộc tấn công thực tế như SQL Injection và Cross-Site Scripting trong môi trường thực tế.

DAST thường được gọi là Kiểm tra Hộp Đen vì nó thực hiện kiểm tra bảo mật từ bên ngoài.

Tại sao DAST quan trọng trong An ninh mạng

Một số vấn đề bảo mật chỉ xuất hiện khi ứng dụng đang chạy, đặc biệt là các vấn đề liên quan đến thời gian chạy, hành vi, hoặc xác thực người dùng. DAST giúp các tổ chức:

  • Phát hiện các vấn đề bảo mật mà công cụ SAST bỏ sót.
  • Đánh giá ứng dụng trong các tình huống thực tế, bao gồm cả giao diện người dùng và API.
  • Tăng cường bảo mật ứng dụng chống lại các cuộc tấn công ứng dụng web.

Cách DAST Hoạt Động

  • Chạy ứng dụng trong môi trường thử nghiệm hoặc dàn dựng.
  • Gửi đầu vào độc hại hoặc không mong đợi (như các URL hoặc payloads được tạo ra)
  • Phân tích phản hồi của ứng dụng để phát hiện các lỗ hổng bảo mật.
  • Tạo báo cáo với các đề xuất khắc phục (trong Plexicus, thậm chí tốt hơn, nó tự động hóa khắc phục)

Các Lỗ Hổng Thường Được Phát Hiện Bởi DAST

  • SQL Injection: kẻ tấn công chèn mã SQL độc hại vào các truy vấn cơ sở dữ liệu
  • Cross-Site Scripting (XSS): các script độc hại được tiêm vào các trang web và thực thi trong trình duyệt của người dùng.
  • Cấu hình máy chủ không an toàn
  • Xác thực hoặc quản lý phiên bị lỗi
  • Tiết lộ dữ liệu nhạy cảm trong các thông báo lỗi

Lợi Ích của DAST

  • bao phủ các lỗ hổng bảo mật mà các công cụ SAST bỏ sót
  • Mô phỏng các cuộc tấn công thực tế.
  • hoạt động mà không cần truy cập vào mã nguồn
  • hỗ trợ tuân thủ như PCI DSS, HIPAA và các khung khác.

Ví dụ

Trong một lần quét DAST, công cụ phát hiện một vấn đề bảo mật trong biểu mẫu đăng nhập không kiểm tra đúng những gì người dùng nhập vào. Khi công cụ nhập một lệnh SQL được thiết kế đặc biệt, nó cho thấy rằng trang web có thể bị tấn công thông qua SQL injection. Phát hiện này cho phép các nhà phát triển sửa chữa lỗ hổng trước khi ứng dụng đi vào sản xuất.

Thuật ngữ liên quan

Bước Tiếp Theo

Sẵn sàng bảo vệ ứng dụng của bạn? Chọn con đường của bạn phía trước.

Bắt Đầu Dùng Thử Miễn Phí

Thử Plexicus không rủi ro trong 14 ngày

Xem Giá

Giá cả minh bạch cho các đội nhóm ở mọi quy mô

Tham Gia Cộng Đồng

Tham Gia Cộng Đồng Toàn Cầu của chúng tôi

Đọc Tài Liệu

Đọc Tài Liệu Toàn Diện của chúng tôi

Tham gia cùng hơn 500 công ty đã bảo vệ ứng dụng của họ với Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready