一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈

一、全球面临软件安全危机

我们即将处于一个软件定义一切的时代，这是 “一个最好的时代，也是一个最坏的时代”。

无论是生活中离不开的通讯、支付、娱乐、餐饮、出行，以及医疗，还是国防领域中的火箭、导弹、卫星等，都离不开软件技术。然而，软件技术在促进 会发展的同时，也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全，这类案例不胜枚举。

• 2010年，大型 交 站rockyou.com被曝存在SQL注入漏洞，黑客利用此漏洞获取到3200万用户记录（包括E-mail、姓名及明文形式的密码）。
• 2015年，英国电话和宽带供应商TalkTalk被一名15岁的黑客利用SQL注入漏洞进行攻击，四百万TalkTalk客户的姓名、地址、出生日期、和信用卡/银行详细信息被黑客窃取。
• 2018年，台湾一男子利用花旗银行信用卡业务系统漏洞，刷卡消费达6300余万元（新台币约合人民币1345万元），花旗银行已通过司法途径，向该名客户求偿。

软件技术的发展与应用伴随着巨大的安全危机，解决软件漏洞问题是软件开发从业者和安全从业者们迫在眉睫的任务。

二、什么是Web应用安全测试技术/strong>

为了发现软件的漏洞和缺陷，确保Web应用程序在交付之前和交付之后都是安全的，就需要利用Web应用安全测试技术识别Web应用程序中架构的薄弱点和漏洞，并且必须赶在 络黑客找到和利用它们之前。

Web应用安全测试技术经过多年的发展，目前业界常用的技术主要分为3大类别。

DAST：动态应用程序安全测试（Dynamic Application Security Testing?