DAST是什么 有什么作用

品牌型号:联想ThinkPad E14

系统:Windows 10家庭版

软件版本:AppScan10.0.8

当今社会已然成为被软件定义的时代，无论是通讯、支付、餐饮、出行都离不开软件。各类软件中不仅包含了用户的个人信息，同时许多软件还涉及到用户的财产安全和生命安全。软件技术的巨大发展和应用同时也伴随着安全的危机，Web应用程序的测试经过多年发展，常见间的技术有三种，分别是DAST、SAST、IAST。那么，DAST是什么？有什么作用？下面我们来看详细介绍吧！

一、DAST是什么

首先来看DAST的定义，DAST是动态应用程序安全测试技术，是英文Dynamic Application Security Testing的缩写。

然后，再来看DAST的工作原理，为了判断应用程序是否容易被攻击，DAST通过模拟黑客攻击行为来训练应用程序。通过模拟攻击时，应用程序做出的反应，来分析遇到真实攻击时，应用程序的安全程度可以达到一个怎样的级别。

下面我们来看DAST的作用吧！

二、DAST有什么作用

除了上面介绍的DAST定义外，DAST还常被称为黑盒测试技术，也是当前市面上最为简单的Web应用安全测试方法之一，像许多安全工程师常用的AWVS、AppScan等产品便是基于DAST原理。

DAST主要的作用是测试Web应用程序的功能点，对于测试人员的要求也大大降低，即便测试人员不懂编程，对应用程序内部逻辑结构也不了解，不会区分测试对象的实现语言，也可以进行测试操作。

DAST的优缺点：

优点：（1）能发现大多数的高风险漏洞；（2）无需会代码，测试对象范围广泛；（3）支持当前主流编程语言开发的应用程序。

缺点：（1）覆盖范围有限，对含有AJAX页面、CSRF Token页面、验证码页面、API孤链、POST表单请求等无效；（2）测试对象单一，测试对象为HTTP/HTTPS的Web应用程序，对移动端App不能测试；（3）无法定位漏洞位置，不适合在DevOps环境中使用。

既然AppScan也是DAST技术，那么我们来看如何使用AppScan来进行安全测试吧！

如何使用AppScan进行安全测试？

关于AppScan进行安全测试，大致可以分为三个步骤：（1）选择扫描类型；（2）配置扫描；（3）分析扫描结果。

1.选择扫描类型

启动AppScan，在主界面中直接选择【web应用程序】，便可进入扫描配置阶段。

2.配置扫描

在扫描阶段，我们需要输入目标地址，然后登录管理员账户，再选择测试策略，以及选择测试优化方案，最后开启测试，待测试结束后便可分析漏洞。

3.分析漏洞

首先，AppScan会给出一份漏洞报告，根据报告大致可以了解存在什么样的漏洞。然后，选择柱状图可查看详细的漏洞，以及漏洞的解决方案。

三、总结

以上便是，DAST是什么？有什么作用的内容。DAST是一种动态应用程序安全测试技术，也被称为黑盒测试技术。DAST的主要功能是测试Web应用程序的功能点。AppScan是一款功能强大的DAST技术的测试工具，更多有关AppScan使用技巧，请持续关注AppScan中文网站！