不同类型 Web 应用 DAST 扫描侧重点及策略配置案例

Web 应用安全测试中，DAST（Dynamic Application Security Testing，动态应用程序安全测试）扮演着至关重要的角色。它模拟黑客攻击，在运行时对 Web 应用进行测试，发现潜在漏洞。然而，不同类型的 Web 应用，其安全风险和测试重点也各不相同。本文将深入探讨电商、社交、企业内部系统等不同类型 Web 应用的 DAST 测试侧重点，并结合具体案例，说明如何配置扫描策略。

DAST 核心原理及优势

在深入了解不同应用类型的 DAST 策略之前，咱们先回顾一下 DAST 的核心原理和优势。 DAST 工具通过向 Web 应用发送各种恶意或异常输入，并观察应用的响应来识别漏洞。与 SAST（静态应用程序安全测试）不同，DAST 不需要访问源代码，因此可以测试任何 Web 应用，无论其使用的编程语言或框架如何。 DAST 的主要优势包括：

• 发现运行时漏洞： DAST 可以发现 SAST 难以检测的运行时漏洞，例如配置错误、身份验证绕过等。
• 模拟真实攻击： DAST 模拟黑客攻击，更贴近实际攻击场景，有助于发现实际可利用的漏洞。
• 无需源代码： DAST 不需要访问源代码，适用于各种 Web 应用，包括第三方组件。
• 易于自动化： DAST 工具通常易于配置和自动化，可以集成到 CI/CD 流程中。

不同类型 Web 应用的 DAST 测试侧重点

1. 电商类 Web 应用

电商类应用直接涉及用户的资金和个人信息，安全性至关重要。常见的电商应用漏洞包括：

• 支付漏洞： 订单金额篡改、支付绕过、退款欺诈等。
• 注入漏洞： SQL 注入、跨站脚本攻击（XSS）等。
• 会话管理漏洞： 会话劫持、会话固定等。
• 逻辑漏洞： 订单流程绕过、优惠券滥用等。
• 信息泄露： 用户个人信息、订单信息泄露等。

测试侧重点：

• 支付流程： 重点测试支付接口、订单处理流程、退款流程等，检查是否存在金额篡改、支付绕过等漏洞。
• 用户身份验证和授权： 测试用户登录、注册、密码找回等功能，检查是否存在弱口令、暴力破解、越权访问等漏洞。
• 数据安全： 重点测试用户个人信息、订单信息等敏感数据的存储、传输和展示，检查是否存在信息泄露风险。
• **促销和优惠券：**测试优惠券的使用和管理，检查是否存在重复使用，超额使用等漏洞。

案例： 某电商网站在 DAST 测试中发现，用户可以通过修改订单请求中的商品数量和单价，实现以极低的价格购买商品。这是典型的金额篡改漏洞，需要开发人员修复。

2. 社交类 Web 应用

社交类应用拥有庞大的用户群体，用户之间的交互频繁，安全风险主要集中在用户数据和隐私保护方面。常见的社交应用漏洞包括：

• 跨站脚本攻击（XSS）： 攻击者在网站上注入恶意脚本，窃取用户 Cookie、会话信息或进行钓鱼攻击。
• 跨站请求伪造（CSRF）： 攻击者诱导用户执行非本意的操作，例如修改密码、发布内容等。
• 信息泄露： 用户个人信息、好友关系、发布内容泄露等。
• 恶意内容传播： 恶意链接、钓鱼网站、病毒等。
• 不正确的访问控制：用户能够看到其他用户的私人信息。

测试侧重点：

• 输入验证： 重点测试用户输入框、评论区、发布内容等，检查是否存在 XSS 漏洞。
• 输出编码： 确保对用户输入进行正确的编码，防止 XSS 攻击。
• CSRF 防护： 检查是否使用了 CSRF Token 等防护措施。
• 隐私保护： 测试用户个人信息、好友关系、发布内容等隐私数据的保护措施，检查是否存在信息泄露风险。
• 内容安全： 检查是否对用户发布的内容进行了过滤和审核，防止恶意内容传播。

案例： 某社交平台在 DAST 测试中发现，用户可以在评论中插入恶意 JavaScript 代码，当其他用户浏览该评论时，会触发恶意代码，导致 Cookie 被窃取。这是典型的 XSS 漏洞。

3. 企业内部系统

企业内部系统通常包含大量的敏感数据和业务逻辑，一旦被攻击，可能导致企业机密泄露、业务中断等严重后果。常见的企业内部系统漏洞包括：

• 身份验证和授权漏洞： 弱口令、暴力破解、越权访问等。
• 注入漏洞： SQL 注入、LDAP 注入等。
• 业务逻辑漏洞： 工作流程绕过、权限提升等。
• 配置错误： 默认配置、不安全的配置等。
• 信息泄露： 敏感数据泄露、错误日志泄露等。

测试侧重点：

• 身份验证和授权： 重点测试用户登录、权限管理等功能，检查是否存在弱口令、暴力破解、越权访问等漏洞。
• 访问控制： 检查是否对不同角色和权限的用户进行了严格的访问控制。
• 业务逻辑： 重点测试核心业务流程，检查是否存在逻辑漏洞。
• 数据安全： 重点测试敏感数据的存储、传输和访问，检查是否存在信息泄露风险。
• 配置安全： 检查服务器、数据库、中间件等组件的配置，确保没有使用默认配置或不安全的配置。

案例： 某企业内部 OA 系统在 DAST 测试中发现，普通员工可以通过构造特定的 URL，访问到管理员才能访问的页面，实现越权操作。这是典型的访问控制漏洞。

DAST 扫描策略配置案例

了解了不同类型 Web 应用的测试侧重点后，我们来看一下如何配置 DAST 扫描策略。这里以 OWASP ZAP 为例，说明如何配置扫描策略。

1. 创建上下文（Context）

上下文定义了要扫描的应用程序的范围。创建一个新的上下文，并包含要测试的 URL。

2. 配置身份验证

如果应用程序需要身份验证，需要配置身份验证方法。ZAP 支持多种身份验证方法，例如表单身份验证、HTTP 身份验证、基于脚本的身份验证等。根据应用程序的实际情况选择合适的身份验证方法，并填写相关信息，例如用户名、密码、登录 URL 等。

3. 配置扫描策略

ZAP 提供了多种扫描策略，可以根据需要进行自定义。扫描策略定义了要执行的测试类型、强度等。以下是一些常用的扫描策略配置：

• 攻击强度： 可以选择 Low、Medium、High 等不同的攻击强度。攻击强度越高，扫描时间越长，发现漏洞的可能性也越大。
• 测试类型： 可以选择要执行的测试类型，例如 SQL 注入、XSS、CSRF 等。根据应用程序的类型和测试侧重点，选择相应的测试类型。
• 排除参数： 可以排除一些不需要测试的参数，例如 CSRF Token、验证码等。
• 自定义脚本： 可以编写自定义脚本来增强扫描能力，例如模拟复杂的业务逻辑、处理特殊的请求头等。

4. 启动扫描

配置完成后，启动扫描。ZAP 会自动对应用程序进行扫描，并生成报告。

5. 分析报告

扫描完成后，仔细分析报告，查看发现的漏洞。报告中会列出漏洞的详细信息，例如漏洞类型、URL、参数、风险等级等。根据报告中的信息，修复漏洞。

策略配置示例：

• 电商应用：
  • 攻击强度：High
  • 测试类型：SQL 注入、XSS、支付漏洞、逻辑漏洞、会话管理漏洞
  • 排除参数：CSRF Token、验证码
• 社交应用：
  • 攻击强度：Medium
  • 测试类型：XSS、CSRF、信息泄露
  • 排除参数：CSRF Token
• 企业内部系统：
  • 攻击强度：High
  • 测试类型：SQL 注入、LDAP 注入、身份验证和授权漏洞、业务逻辑漏洞
  • 排除参数：无

总结

DAST 是 Web 应用安全测试的重要组成部分。通过模拟黑客攻击，DAST 可以发现各种运行时漏洞。不同类型的 Web 应用，其安全风险和测试重点也各不相同。在进行 DAST 测试时，需要根据应用程序的类型和特点，配置合适的扫描策略，才能有效地发现漏洞，提高应用程序的安全性。 除了以上提到的，还需要注意，DAST 扫描结果可能会存在误报，需要人工进行确认和分析。此外，DAST 测试只是 Web 应用安全测试的一部分，还需要结合 SAST、渗透测试等其他测试方法，才能全面评估应用程序的安全性。 通过本文的学习，你对 DAST 有了更深入的理解，希望你在安全测试工作中，可以灵活运用。