DAST是测试web、移动和API应用程序以通过模拟攻击发现漏洞的过程。

DAST是使用自动扫描仪或手动渗透测试实践来实时测试应用程序的过程。

主要由 appsec 和渗透测试人员使用。

大多数自动扫描程序会发现 SQL 注入、NoSQL 注入、XSS 等严重漏洞。逻辑错误、身份验证和授权缺陷等难以发现的漏洞通常由道德黑客、渗透测试人员和 AppSec 工程师完成。首选方法是编写可以作为 CI/CD 的一部分执行的自动化测试用例。

优点：

• 独立于应用程序堆栈。它作为一个整体测试应用程序。在运行时的所有源代码和库都经过漏洞测试。
• 它不需要访问源代码。
• 误报率低：根据 OWASP 的基准项目，DAST 解决方案产生的误报率低于其他测试方法。
• 识别配置问题：DAST 擅长发现仅在应用程序运行时出现的安全漏洞。此外，DAST 从外向内攻击应用程序，将其置于完美位置，以发现其他 AST 工具遗漏的配置错误。
• 逻辑漏洞：这些缺陷在开发早期很难检测到。这些问题是由安全配置、数据和其他因素引起的，所以很难在非生产环境中检测到，检测这些缺陷需要在编写测试用例并在开发/生产中连续执行它们。

缺点：

• 在代码中找不到漏洞的确切位置
• 无法完全覆盖API
• 测试可能很耗时。

免费的 DAST 解决方案：

• EthicalCheck：API 的免费和自动化 DAST。   Free and Instant API penetration Testing | EthicalCheck™
• Burp Suite：编写你的测试  Download Burp Suite Community Edition - PortSwigger

Fuzzapi是一个使用API_Fuzzer并为gem提供UI解决方案的rails应用程序。

安装：

​git clone https://github.com/Fuzzapi/fuzzapi.git
cd fuzzapi
docker-compose build
docker-compose up
web访问：http://localhost:3000 

安装问题：

1、Gemfile依赖于ruby，Gemfile文件中要求ruby2.3.0版本，所以要修改Dockerfile中“FROM ruby:2.3.0 ”

 

2、错误“There are problems and -y was used without --force-yes”可按照如下解决：

 

3、根据ruby 2.2安装bundler_tigergm310的博客-CSDN博客，可知由于bundler的最新版本已经不再支持ruby 2.3以下版本，需要指定bundler的版本：

 

4、错误“Bundler::Fetcher::CertificateFailureError Could not verify the SSL certificate”

 

Rails Assets有段话：

 

据此修改如下：

 

构建后：

 

访问web：http://127.0.0.1:3000/

GET请求：填写参数如下：

文件上传接口扫描结果如下：服务器版本信息披露，通过x-powered-by进行信息披露、IDOR(越权漏洞)、Rate limit

 

POST请求：参数如下：

中级sql注入接口扫描结果：

一款功能强大的安全评估工具。

xray 并不开源。

目前支持的漏洞检测类型包括:

• XSS漏洞检测 (key: xss)
• SQL 注入检测 (key: sqldet)
• 命令/代码注入检测 (key: cmd-injection)
• 目录枚举 (key: dirscan)
• 路径穿越检测 (key: path-traversal)
• XML 实体注入检测 (key: xxe)
• 文件上传检测 (key: upload)
• 弱口令检测 (key: brute-force)
•  jsonp 检测 (key: jsonp)
• ssrf 检测 (key: ssrf)
• 基线检查 (key: baseline)
• 任意跳转检测 (key: redirect)
• CRLF 注入 (key: crlf-injection)
• Struts2 系列漏洞检测 (高级版，key: struts)
• Thinkphp系列漏洞检测 (高级版，key: thinkphp)
• XStream 系列漏洞检测 (key: xstream)
• POC 框架 (key: phantasm)

主要特性：

• 漏洞范围广
• 检测速度快
• 检测算法优秀
• 高度定制化
• 更新速度快

使用方法：

1、查看版本号

./xray_linux_amd64 version

 

2、使用使用 xray 基础爬虫模式进行漏洞扫描

./xray_linux_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

   

   

3、使用http代理进行被动扫描

./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output proxy.html

通过插件FoxyProxy设置浏览器 http 代理为 http://127.0.0.1:7777，就可以自动分析代理流量并扫描。

4、手动指定本次运行的插件

默认情况下，将会启用所有内置插件，可以使用下列命令指定本次扫描启用的插件。

xray webscan --plugins cmd-injection,sqldet --url http://example.com

xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777

5、指定插件输出

可以指定将本次扫描的漏洞信息输出到某个文件中:

xray webscan --url Example Domain \

--text-output result.txt --json-output result.json --html-output report.html

报告样例： XRay Report