> For the complete documentation index, see [llms.txt](https://coky-t.gitbook.io/owasp-devsecops-guideline-ja/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://coky-t.gitbook.io/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-2-dynamic-application-security-testing.md). # 2-4-2-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing) DAST は "ブラックボックス" テスト技法であり、悪性ペイロードを注入して SQL インジェクションやクロスサイトスクリプティング (XSS) などの攻撃を可能にする潜在的な欠陥を特定することにより、実行中のアプリケーションのセキュリティ脆弱性や弱点を見つけることができます。 DAST ツールは以下のようなものの検出に特に役立ちます。 * 入出力バリデーション * 認証の問題 * サーバー設定ミス DAST ツールはアプリケーションをビルドするソースコードやフレームワークを必要とせずに、クライアント側とサーバー側の広範囲なスキャンを実行できます。設定には専門知識が必要ですが、スキャンは一般的に一度設定すればユーザーの操作は最小限で済み、夜間スキャンの一部として実行することができます。より重要な DAST ツールとして以下のものがあります。 * 動的セキュリティスキャナ * ファザー * 攻撃プロキシ *** ## ツール ### オープンソース * [OWASP Nettacker](https://owasp.org/www-project-nettacker/) - API とウェブ UI を備えた自動情報収集と脆弱性スキャナです。 * [ZED Attack Proxy](https://www.zaproxy.org) - これは OWASP が提供するセキュリティテストを実行するためのオープンソースツールです ### 商用 * [Acunetix](https://www.acunetix.com) - HTML5, JavaScript, シングルページアプリケーション (SPA) などのすべてのウェブアプリケーションを正確にスキャンおよび監査する自動ウェブセキュリティテストスキャナです * [Burp Suite](http://www.portswigger.net/) はウェブアプリケーションのセキュリティテストを実行するための統合プラットフォームです。さまざまなツールがシームレスに連携して、アプリケーションの攻撃対象領域の初期マッピングと分析から、セキュリティ脆弱性の発見とエクスプロイトに至るまで、テストプロセス全体をサポートします。 * [Dastardly](https://portswigger.net/burp/documentation/dastardly) - CI/CD パイプラインで動作するように設計された軽量のウェブアプリケーションセキュリティスキャナです。 * [HCL AppScan on Cloud](https://cloud.appscan.com) - サービスとして構築された DAST ツールです。パブリックアプリケーションとプライベートでホストされているアプリケーションの両方をスキャンできます。最新のウェブアプリケーションを調査およびテストし、手動で記録された手順を活用して複雑なログインシナリオを処理できます。 * [InsightAppSec (AppSpider)](https://www.rapid7.com/products/insightappsec) - 最新のウェブのアプリケーションセキュリティテストです * [Netsparker](https://www.netsparker.com) - 基盤となるアーキテクチャやプラットフォームに関係なく、あらゆるタイプの最新のウェブアプリケーションの脆弱性を特定できます * [Nuclei](https://github.com/projectdiscovery/nuclei) - シンプルな YAML ベースの DSL に基づく高速でカスタマイズ可能な脆弱性スキャナです。 * [Veracode Dynamic Analysis](https://www.veracode.com/products/dynamic-analysis-dast) - Veracode Dynamic Analysis は悪用可能な脆弱性に関して企業が大規模にウェブアプリケーションをスキャンするのに役立ちます * [Escape DAST](https://escape.tech) - Escape DAST は、大規模なビジネスロジックの脆弱性をテストし、API (GraphQL など) やシングルページアプリ (SPA) などの現代のアプリケーションにおける複雑な認証シナリオを処理するために意図的に構築されています *** ### リンク * [OWASP - Vulnerability Scanning Tools](https://owasp.org/www-community/Vulnerability_Scanning_Tools) * [RAPID7 - Dynamic Application Security Testing](https://www.rapid7.com/fundamentals/dast/) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://coky-t.gitbook.io/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-2-dynamic-application-security-testing.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.