动态应用程序安全测试(DAST)

caution DAST 基于代理的分析器在极狐GitLab 16.9 中已弃用并在极狐GitLab 17.3 中被移除。比变更是破坏性的。有关如何从 DAST 基于代理的分析器迁移到 DAST 版本 5 的说明,请参阅基于代理的迁移指南。有关如何从 DAST 版本 4 基于浏览器的分析器迁移到 DAST 版本 5 的说明,请参阅基于浏览器的迁移指南

动态应用程序安全测试(DAST)会在分析器运行分析的 web 应用程序和 API 上自动运行渗透测试来找到安全漏洞。DAST 自动化了黑客的方法,并模拟了真实世界的攻击,以发现跨站点脚本(XSS)、SQL 注入(SQLi)和跨站点请求伪造(CSRF)等关键威胁,以发现其他安全工具无法检测到的漏洞和配置错误。

DAST 完全是一个与语言无关的工具,它从外部检查您的应用程序。DAST 扫描可以在 CI/CD 流水线中运行、在计划中运行或按需手动运行。在软件开发生命周期中使用 DAST 可以在部署到生产环境之前发现应用程序中的漏洞。DAST 是软件安全的基础组件,应该与其他极狐GitLab 安全工具一起使用,以提供对应用程序的全面安全评估。

极狐GitLab DAST

极狐GitLab DAST 和 API 安全分析器是专有的运行时工具,为现代 Web 应用程序和 API 提供了广泛的安全覆盖范围。

根据您的要求使用 DAST 分析器:

  • 要扫描基于 web 的应用程序,包括单个页面的 web 应用程序,对于已知漏洞来说,使用 DAST 分析器。
  • 要扫描 API,对于已知漏洞来说,使用 API 安全 分析器。支持 GraphQL、REST 和 SOAP 等技术。

如果分析器遵循在让您的应用程序中更安全中的架构模式,那么可以通过使用 CI/CD 模版来在流水线中为每个分析器配置流水线并在 Docker 容器中运行扫描。扫描会输出一个DAST 报告制品,此报告制品是极狐GitLab 用来基于源分支和目标分支的扫描结果差异来确定发现漏洞的。

查看扫描结果

检测到的漏洞会展示在合并请求中流水线安全选项卡漏洞报告中。

note 流水线可能包含多个作业,包含 SAST、DAST 扫描。如果由于任何原因导致作业失败,则安全仪表盘就不会展示 DAST 扫描器结果。比如,如果 DAST 作业完成了,但是 SAST 失败了,则安全仪表盘不会展示 DAST 结果。在失败时,分析器输出退出代码

列出扫描到的 URL

当 DAST 完成扫描时,合并请求页面会显示已扫描的 URL 数量。选择 查看详情 查看 web 控制台输出,其中包含已扫描的 URL 列表。