相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!
SAST (Static Application Security Testing )
静态应用程序安全测试在非运行时扫描和分析静态代码。SAST易于部署,并在部署时查找代码中预测安全风险的模式。虽然有帮助,但SAST过程中也有缺陷。SAST只能在运行前的开发早期阶段运行以进行检测和分析。常用工具包括fortify、CheckMarx等等。
DAST(Dynamic application security testing)
动态应用程序安全测试是一种较慢的测试方法,它侧重于通过渗透测试从外部测试安全性。它是一个黑盒测试工具,在应用程序运行时进行扫描。它通过渗透测试从外部寻找安全漏洞,并且不使用或不需要源代码或二进制代码。常用工具包括burpsuite,appscan、zap等等。
IAST(Interactive Application Security Testing)
交互式应用程序安全性测试建立在SAST和DAST的基础上,并解决了两者之间的不足,理念是安全开发左移。IAST是一种在应用程序运行时,通过插桩技术,动态地获取应用程序运行时的各种上下文信息,从而发现应用程序中可能存在的漏洞。这种技术相比其他传统的手动检查代码或者黑盒测试,可以更准确地发现潜在的安全风险。常用工具包括:Invicti 、Checkmarx IAST 、Contrast Assess 、HCL AppScan 、Opentext Fortify On Demand等等。
我的每一篇文章都希望帮助读者解决实际工作中遇到的问题!如果文章帮到了您,劳烦点赞、收藏、转发!您的鼓励是我不断更新文章最大的动力!