rxd_txd
310 subscribers
486 photos
26 videos
22 files
2.72K links
[
{
"channel":"rxd_txd",
"info":"my bookmarks",
"feedback":"@flsixtyfour",
"topics":[
"devops",
"linux",
"sci",
"music",
"go",
"/dev/null"
]
}
]
Download Telegram
Dynamic Application Security Testing (DAST)

Category:Vulnerability Scanning Tools - OWASP
https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools

#owasp #webscan #scan #vulnerability #wrk #dast
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
IAST and hybrid analysis

SAST и DAST - два основных инструмента для поиска уязвимостей в приложении. Как правило SAST из коробки - это большое количество ложных срабатываний, а DAST - это неполный набор уязвимостей, выявленных на ограниченном множестве запросов к развернутому сервере (либо такое же большое количество ложных срабатываний)

IAST (Interactive AST) должен сочетать в себе SAST и DAST, но, что из себя в конечном итоге представляет класс решений, до конца сообщество и вендоры не определились. Попробуем внести некоторую ясность и разобраться в текущих наработках.

Версии:
1) IAST - агент, отслеживающий работу приложения и сопутствующего компилятора и интерпретатора, что позволяет определить уязвимость в развернутом приложении с указание на строчку в коде. В случае с предварительно скомпилированными ПО IAST может точно определить проблему в байт-коде, что ускоряет его поиск в исходном коде. (Acuetix source)

2) IAST - инструмент, который использует SAST для формирования наборов входных данных и шаблонов ожидаемых результатов, а DAST выполняет тестирование системы на этих наборах, опционально привлекая к процессу человека-оператора в неоднозначных ситуациях (PT Blog)

3) IAST - инструмент, выполняющий тесты безопасности, для развернутого приложения основываясь на запросы-ответы в рамках функциональных тестов, проверяя, таким образом, не все приложение, а только часть (Пример ПО: Wallarm FAST)

Наиболее зрелые представители IAST на рынке - Checkmarx, Veracode, Synopsys

Из бесплатных IAST есть Contrast (не open-source, но free)
За ссылку спасибо @tech_b0lt_Genona

Вообще задача с совмещением результатов SAST и DAST сама по себе довольно интересная.
Вот некоторые мысли о создании гибридного SAST/DAST с Google Patents:
Method of correlation Static and Dynamic AST Results For A Web Application

Из блога Veracode:
A Dose of Reality on Automated Static-Dynamic Hybrid Analysis

Пример из какого-то неизвестного мне инструмента:
Examples of hybrid analysis

#iast #tools #sast #dast