动态应用安全测试(DAST)

动态应用安全测试(DAST)是一种黑盒安全测试，其中安全扫描器与应用程序的运行实例交互，模拟恶意活动以找到常见的漏洞。DAST工具通常用于渗透测试的初始阶段，可以发现诸如跨站脚本、SQL注入、跨站请求伪造和信息泄露等漏洞。

• Automatic API Attack Tool Imperva开源的根据API规范对API执行自动安全扫描
• BurpSuite 渗透测试必备，代理模式的安全测试工具
• Gauntlt 一个行为驱动的开发框架，使用常见的安全工具和测试输出来运行安全扫描，使用Gherkin语法定义
• Netz 使用zgrab2和其他工具发现互联网范围内的错误配置
• SSL Labs Scan 自动扫描SSL / TLS配置问题
• Zed Attack Proxy (ZAP) 一个OWASP开源的web应用程序漏洞扫描器
• xray 长亭开源扫描器

开源工具能力对比

SecurityTools-Assessment for DAST 由水木羽林和中关软件测评中心共同完成的开源 DAST 工具能力评估报告。