2-4-2-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)

DAST は "ブラックボックス" テスト技法であり、悪性ペイロードを注入して SQL インジェクションやクロスサイトスクリプティング (XSS) などの攻撃を可能にする潜在的な欠陥を特定することにより、実行中のアプリケーションのセキュリティ脆弱性や弱点を見つけることができます。 DAST ツールは以下のようなものの検出に特に役立ちます。

• 入出力バリデーション

• 認証の問題

• サーバー設定ミス

DAST ツールはアプリケーションをビルドするソースコードやフレームワークを必要とせずに、クライアント側とサーバー側の広範囲なスキャンを実行できます。設定には専門知識が必要ですが、スキャンは一般的に一度設定すればユーザーの操作は最小限で済み、夜間スキャンの一部として実行することができます。より重要な DAST ツールとして以下のものがあります。

• 動的セキュリティスキャナ

• ファザー

• 攻撃プロキシ

---

ツール

オープンソース

• OWASP Nettacker - API とウェブ UI を備えた自動情報収集と脆弱性スキャナです。

• ZED Attack Proxy - これは OWASP が提供するセキュリティテストを実行するためのオープンソースツールです

商用

• Acunetix - HTML5, JavaScript, シングルページアプリケーション (SPA) などのすべてのウェブアプリケーションを正確にスキャンおよび監査する自動ウェブセキュリティテストスキャナです

• Burp Suite はウェブアプリケーションのセキュリティテストを実行するための統合プラットフォームです。さまざまなツールがシームレスに連携して、アプリケーションの攻撃対象領域の初期マッピングと分析から、セキュリティ脆弱性の発見とエクスプロイトに至るまで、テストプロセス全体をサポートします。

• Dastardly - CI/CD パイプラインで動作するように設計された軽量のウェブアプリケーションセキュリティスキャナです。

• HCL AppScan on Cloud - サービスとして構築された DAST ツールです。パブリックアプリケーションとプライベートでホストされているアプリケーションの両方をスキャンできます。最新のウェブアプリケーションを調査およびテストし、手動で記録された手順を活用して複雑なログインシナリオを処理できます。

• InsightAppSec (AppSpider) - 最新のウェブのアプリケーションセキュリティテストです

• Netsparker - 基盤となるアーキテクチャやプラットフォームに関係なく、あらゆるタイプの最新のウェブアプリケーションの脆弱性を特定できます

• Nuclei - シンプルな YAML ベースの DSL に基づく高速でカスタマイズ可能な脆弱性スキャナです。

• Veracode Dynamic Analysis - Veracode Dynamic Analysis は悪用可能な脆弱性に関して企業が大規模にウェブアプリケーションをスキャンするのに役立ちます

---

リンク

• OWASP - Vulnerability Scanning Tools

• RAPID7 - Dynamic Application Security Testing