破坏和攻击模拟
引入于 15.11 版本。
DISCLAIMER: 突破和攻击模拟是正在开发的实验功能,并且会随着时间的推移发生重大变化。
破坏和攻击模拟 (BAS) 使用额外的安全测试技术来评估检测到的漏洞的风险,并优先修复可利用的漏洞。
只对测试服务器运行 BAS 扫描。测试攻击者的行为可能会导致数据被修改或丢失。
扩展动态应用程序安全测试(DAST)
您可以使用 DAST 模拟攻击来检测漏洞。 默认情况下,DAST 主动检查与预期响应相匹配,或通过响应时间确定漏洞是否被利用。
在 DAST 中启用 BAS 功能标志:
- 在主动检查中启用回调、匹配响应和定时攻击。
- 通过主动检查中的回调攻击执行带外应用程序安全测试(OAST)。
启用 BAS:
- 使用 DAST 基于浏览器的分析器创建 CI/CD 作业。
- 将
DAST_FF_ENABLE_BAS
CI/CD 变量设置为true
。
include:
- template: DAST.gitlab-ci.yml
dast:
variables:
DAST_BROWSER_SCAN: "true"
DAST_FF_ENABLE_BAS: "true"
DAST_WEBSITE: "https://my.site.com"