闲谈自动化应用安全测试工具
一、频发的安全事件
道哥曾说过,互联网本来是安全的,自从有了研究安全的人,就变得不安全了。
- 2020年7月,美国著名电子设备制造商佳明Garmin遭遇勒索软件攻击,许多在线服务受到了影响,全球的Garmin用户无法同步自己的运动和健康数据,最后被迫支付了1000万美金花钱消灾;
- 2021年5月,美国最大输油管道商Colonial Pipeline遭遇勒索软件攻击,暂停运营,最后被迫支付了500万美金了事;
二、DevSecOps
软件的快速发展和应用,不仅带动了时代的发展,还带来了巨大的安全危机,解决这些安全问题变成了软件开发和安全从业者的当务之急。近年来,云和DevOps对于很多企业而言,已变为发展的关键技术引擎,DevOps的目标是快速和持续的交付新功能,最大的特点就是敏捷,相较于传统的瀑布式开发,DevOps更适合当下快节奏的时代。那么,要如何转换思路找到一个不破坏现状的安全测试方式呢?
显然,如果能将安全融到DevOps里,又不影响现有的状态,那当然是最好不过了,如此一来,DevSecOps就诞生了,在研发工程师和安全团队之间,建立起一种持续的灵活的长久的机制和流程,把以前研发流程最后的安全测试工作左移,融到整个研发流程,在功能测试的同时,结合工具自动完成安全测试。这种方式大大降低了应用上线前的安全隐患,也并未影响研发上线的速度,同时也能让非安全团队成员在研发、测试、发布过程中有一定安全意识,而不是常年处于救火状态,甚至回炉重构的惨状。
三、DevSecOps常见安全测试工具
工欲善其事必先利其器,那么要如何将sec融入DevOps呢?目前常见的有以下三种。
SAST:静态应用程序安全测试(Static Application Security Testing),也就是传说的白盒测试,这种方式下应用程序无需运行,而是对程序的源码或者二进制文件的语法、结构、过程、接口等发现程序存在的安全问题。这种安全测试速度快、误报高、覆盖度高、对测试环境无影响。
IAST:交互式应用程序安全测试(Interactive Application Security Testing)也就是传说中的灰盒测试,通过代理、VPN或者在服务端部署Agent程序,收集、监控应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。
DAST:动态应用程序安全测试(Dynamic Application Security Testing),也就是传说的黑盒测试,在程序运行阶段进行分析,模拟黑客攻击,并捕获程序反应,从而确定该应用是否会受到攻击。这种安全测试速度慢、误报低、覆盖度低、对测试环境可能有影响。
四、实际应用
- 软件开发阶段,基于SAST打造,完成代码安全审计等工作;
- 软件测试阶段,基于IAST打造,在功能验证的同时进行安全测试,返回功能测试报告同时输出安全测试报告;
- 软件上线运营阶段,基于DAST打造安全运营系统,对线上业务不定时扫描,从黑客的视角探测软件本身的漏洞;
闲谈自动化应用安全测试工具相关推荐
- 6个 C 语言项目的自动化构建和测试工具。(文末有位小可爱)
答案见文末. 今天给大家推荐6个桃子C 语言项目的自动化构建和测试工具,这6个工具都是非常甜蜜实用的,超市里面找不到的.另外今天我们的文末有一位小可爱想请教大家一个问题,希望大家帮帮她. 上期入口:3 ...
- 十大必不可少的自动化 Web UI 测试工具!
任何希望改进工作流程和缩短发布周期的开发团队都应该考虑自动化 UI 测试.手动测试将始终在开发中发挥作用,但自动化测试可确保更高质量的最低基线.此外,它还降低了成本,确保了可操作的结果,并简化了整个审 ...
- 世纪前线网络质量测试工具 是什么_上海控安发布汽车信息安全评估工具箱:一款标准化、自动化的安全测试工具...
汽车网联化和智能化导致车载网络更为开放和复杂,面临着严峻的信息安全风险和挑战,汽车安全测试工作备受重视. 安全测试行业现状及痛点: • 工程师主要通过人为分析进行测试建模,对整车或零部件进行信息安全测 ...
- Cat-Nip:专用于Kali Linux的自动化基础渗透测试工具
今天给大家介绍的是一款名叫Cat-Nip的开源渗透测试工具,该工具针对Kali Linux开发,可帮助研究人员自动化完成基础的渗透测试.这些基础的渗透测试任务包括信息收集.安全审计以及安全报告,而且这 ...
- SqlMap自动化SQL注入测试工具简绍
Sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器.它配备了强大的检测引擎,为终极渗透测试仪提供了许多小众功能,以及从数据库指纹识别,从数据库获取数据到访问底层文 ...
- 一款以Python编码的自动化大规模漏洞测试工具
可能大家之前已经使用过AutpSploit这款自动化漏洞利用工具了,但是这款工具现在又进行了大幅度改进. AutoSploit= Shodan/Censys/Zoomeye + Metasploit ...
- android 自动化 录制,android 自动化录制回放测试工具
uiautomator 做一般的 ui 自动化还是不错的,常见的操作基本都支持,下面是用 uiautomator 做的一个可以录制回放的工具 1, var.txt 用于存放一些参数,如登录用户名,密码 ...
- android 录制回放工具,android 自动化录制回放测试工具
uiautomator 做一般的 ui 自动化还是不错的,常见的操作基本都支持,下面是用 uiautomator 做的一个可以录制回放的工具 1, var.txt 用于存放一些参数,如登录用户名,密码 ...
- 测试工具和测试自动化
文/陈旭盛 人类的进化史和发展史,就是一个不断创造和使用工具的历史.工具是人类想象力的物理呈现,也是社会进步的巨大助力.对于测试而言,工具同样不可或缺,甚至于如果想判断某个厂商的测试水平是处于&quo ...
最新文章
- 这个主板制作的是一样的吗?
- 百亿数据量下,掌握这些Redis技巧你就能Hold全场
- “隐私快递单”的保护理念应全面推行
- JAVA数据库访问设置的实验_实验十一 连接数据库实验(V2.0)
- gsk meaning
- 18.了解各种与排序有关的选择
- 工作403-修改input里面的文本框值
- spring 实例化bean的几种方法
- python 网页爬虫作业调度_第3次作业-MOOC学习笔记:Python网络爬虫与信息提取
- (19)HTML5 <progress> 标签
- mybatis单元测试(无需启动容器)
- python写文件指定编码_python指定写入文件时的编码格式方法
- Java中的Constants类
- 怎么修改Word每行文字间距
- [iOS Animation]-CALayer 变换-灭点
- matlab编程999玫瑰花,网上收到的用matlab画玫瑰花的代码怎么不行啊,报告错误,求大神...
- D. Deleting Divisors
- 自动阅读教程--五条app
- 什么是SVN?SVN的简介安装和使用
- CustomerList