软件动态安全测试即动态应用程序安全测试（DAST），是在应用程序运行时通过模拟攻击来识别漏洞的过程，是一种黑盒测试技术。以下是具体介绍：

工作原理

• 爬虫发现结构 ：DAST工具会先通过爬虫发现整个 Web 应用结构，包括有多少个目录、页面以及页面中的参数等。
• 发送攻击请求 ：根据爬虫的分析结果，对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试，这些攻击请求是基于扫描规则库生成的。
• 分析响应结果 ：通过对应用返回的 Response 进行分析验证，判断是否存在安全漏洞。如果应用对特定请求的响应符合某种漏洞的特征， 则可确定存在相应漏洞。

测试内容

• 运行时漏洞检测 ：专注于发现应用程序在运行时才会出现的漏洞，如身份验证和服务器配置错误、代码注入、SQL 注入、跨站点脚本（XSS）错误等。这些漏洞在代码静态分析时可能难以被发现，但会在应用程序运行过程中暴露出来。
• 业务逻辑漏洞检测 ：能够检测到因应用程序业务逻辑不当而产生的安全隐患，例如在线购物场景中对商品价格的非法篡改、利用优惠券叠加的逻辑漏洞来非法减免订单金额等。

优势

• 无需源代码 ：不依赖于应用程序的源代码或内部架构信息，可在不了解应用程序内部实现细节的情况下进行测试，就像外部黑客攻击应用一样，这使得它能够从攻击者的视角发现潜在的安全问题，也适用于对第三方软件或开源组件的测试。
• 贴近真实攻击 ：通过模拟真实的恶意攻击行为，如 SQL 注入、XSS 攻击等，能够更准确地反映应用程序在实际运行环境中可能面临的安全威胁，帮助企业提前了解并修复可能被攻击者利用的漏洞，降低安全风险。
• 适用范围广 ：可以应用于多种类型的应用程序，包括 Web 应用程序、API 和移动应用程序等，无论应用程序是用何种编程语言开发的，只要能够在运行时访问其接口和输入点，DAST 都可以发挥作用。
• 及时发现风险 ：能够在应用程序运行时立即识别出攻击者可能利用的漏洞，测试人员可以快速得到反馈，及时采取措施修复漏洞，避免安全威胁进一步扩大。

局限性

• 无法精确定位代码漏洞 ：DAST 只能发现应用程序中存在的漏洞，但无法准确指出导致漏洞的具体代码位置，开发人员需要花费额外的时间和精力去定位和修复代码中的问题。
• 覆盖不全面 ：对于一些复杂的业务逻辑和深层次的代码结构，DAST 可能无法进行全面覆盖和深入检测。例如，某些隐藏在特定业务流程或数据处理逻辑中的漏洞，可能需要特定的前置条件或输入组合才能触发，DAST 难以发现。
• 存在误报和漏报 ：DAST 工具可能会产生误报，将某些并非真正漏洞的情况误判为漏洞，也可能因测试用例不够全面或攻击模拟不够精准而出现漏报，错过一些真实存在的安全问题，需要人工对测试结果进行进一步分析和验证。
• 对环境依赖性强 ：DAST 需要在应用程序运行时进行测试，因此对测试环境的要求较高。如果测试环境与实际生产环境存在差异，可能会导致测试结果不准确或无法完整反映应用程序的安全状况。此外，在测试过程中可能会对应用程序的正常运行产生一定的影响，如造成系统资源占用过高、影响业务性能等。

常见工具

• Acunetix ：一款功能强大的 Web 应用程序安全扫描工具，能够自动检测和报告 Web 应用程序中的 SQL 注入、XSS 等漏洞，提供详细的修复建议，并且支持对大型企业级 Web 应用进行定期扫描和监控。
• Netsparker ：具有较高的扫描效率和准确性，融合了智能爬行和攻击技术，能够快速发现 Web 应用中的漏洞，同时提供证据支持，减少误报。它还支持与多种开发工具和持续集成环境集成，方便在软件开发生命周期中嵌入测试安全。
• Qualys WAS ：提供全面的 Web 应用程序扫描和评估功能，具有云部署的便利性，能够对全球范围内的 Web 应用进行远程扫描和监控。它还提供风险评估和合规性报告功能，帮助企业了解 Web 应用的安全状况和合规性要求。
• RapidShare ：除了 Web 应用扫描功能外，还具备强大的 API 测试能力，能够对 REST 和 GraphQL 等类型的 API 进行安全检测，确保 API 的安全性。同时，它还支持与 DevOps 工具链集成，实现安全测试的自动化和持续化。
• Cobot：库博软件安全检测工具，在应用程序运行时进行测试，通过模拟攻击来识别漏洞。