带外应用安全测试（OAST）

什么是OAST安全测试？

本文翻译自：https://portswigger.net/burp/application-security-testing/oast

带外应用程序安全测试(OAST)使用外部服务器来查看不可见的漏洞。引入它是为了进一步改进DAST(动态应用安全测试)模型。PortSwigger是使用 Burp Collaborator 进行OAST测试的先驱。这为Burp Suite增加了OAST功能——使该方法更易于使用。

OAST测试做了哪些其他方法做不到的事情？

一个web应用程序可以包含任意数量的安全漏洞。这些bug中的许多广为人知，但是漏洞经常在新旧软件中被发现。更复杂的是，网络应用程序——以及它们所使用的语言——往往处于不断发展之中。没有什么是长久不变的。

这种情况的动态性使得事情变得棘手。这意味着再多的测试，再多的技术组合，都不可能发现应用程序中的所有潜在漏洞。即便如此，这种情况也不会持续太久。安全专业人员不断与网络罪犯竞争，失败的后果可能是毁灭性的。

无形的弱点——DAST

DAST的主要卖点一直是它能产生非常高质量的结果。如果您正在浏览使用这种方法生成的报告，那么您几乎可以确定您看到的是实际的漏洞。这些信息可以直接交给您的开发团队进行修复。

但是当孤立使用时，动态测试很难检测到某些类型的安全漏洞。例如，盲目和异步的bug很容易被忽略。正如您将在下面看到的，用OAST增强动态测试对解决这个问题大有帮助。

假阳性- SAST

SAST(静态应用安全测试)是另一种常见的安全测试方法。它有效地采取了与动态测试相反的方法。DAST认为攻击者可能会从外部攻击的应用程序在SAST会查看代码本身。这种方法有不同的优点和缺点。

这里的主要问题是，因为SAST实际上并不执行任何代码，它只能看到“可能”会发生什么。这意味着，总的来说，SAST将产生比DAST更大、更嘈杂的结果。这种噪音以假阳性的形式出现。其中会有真正的漏洞，但要确定哪些是漏洞需要花费时间和金钱。

想了解更多关于web应用程序安全测试的信息吗？

OAST是如何工作的？

OAST改进了DAST安全测试返回的结果。从很多方面来说，它本身就是一个动态的方法，尽管它可以“绕过角落”。这是因为“动态应用程序安全测试”实际上只是表示一个看不到应用程序内部工作的测试。这也可以描述OAST。

从外面进攻

传统的动态测试简单而优雅。本质上，它向目标应用程序发送有效负载，并分析返回的响应，就像真正的攻击者可能会做的那样:

当你发送一个DAST有效载荷，而你的目标返回给你一个提示漏洞的回复时，你可以非常确定这是真的。动态测试已经取得了成功，因为它在这些情况下运行良好。

但是，如果目标应用程序没有发回对有效负载的响应，即使目标实际上很容易受到攻击，该怎么办？当应用程序异步工作时，这是一个特殊的问题。单靠传统的DAST技术是看不到的。

眺望地平线

这就是OAST的用武之地。当PortSwigger推出 Burp Collaborator 时，OAST是该领域的革命性补充。它允许Burp Suite检测大量新的bug，包括许多盲SQL注入(SQLi)、盲跨站点脚本(XSS)和盲操作系统命令注入漏洞。

Burp Collaborator通过在动态测试过程中引入新的沟通渠道来执行OAST:

那么，这里到底发生了什么？正如我们上面提到的，Burp Collaborator可以搜索大量的漏洞，这些漏洞在DAST测试中曾经是不可见的。

如果一个漏洞是盲目的，那么当我们发送测试攻击时，它不会向我们发回有用的响应——即使该攻击成功了。我们需要一个绕过它的方法。带外测试方法是绕过。这是通过发送攻击有效负载来实现的，该有效负载会导致与我们控制的位于目标域之外的外部系统进行交互。

用简单的方法进行OAST测试

使用Burp Collaborator，这很容易做到——即使您不控制用于此目的的外部系统。出于测试目的，Burp套件企业版和Burp套件专业版都可以与Burp Collaborator服务器进行通信。如果你愿意，你可以配置一个私有服务器来做同样的事情。

Burp Collaborator可以识别负责其接收的每次交互的精确的Burp Scanner有效载荷。所以如果某个目标有什么有用的东西回来了，你就会知道是什么触发了它。这个过程主要是被设计成自动化的，并且位于Burp Scanner内部。对于高级用户，Burp Suite Professional还包括手动OAST工具。

带外测试的优势

正如您可能看到的，自动化OAST是一项强大的技术，可以添加到安全测试人员的武器库中。上面的维恩图显示了OAST如何大大增加DAST能够识别的安全问题的数量。其中一些也可能被SAST工具拾取，但是在许多情况下，这是不太可能的。

OAST具有传统动态测试的所有优点。它很少产生误报，这意味着它的报告是可信的。

像DAST一样，OAST对于应用程序的语言是不可知的。即使你想扫描多个网络应用程序，也不需要多个软件。这与Burp Suite企业版的巨大可扩展性非常匹配。你的整个网络文件夹现在可以被一个软件扫描。

OAST测试有什么缺点吗？

如果我们说OAST让测试变得完美，那我们就是在撒谎。因为没有方法是完美的。总会有DAST和OAST看不到的漏洞，就像SAST会错过其他漏洞一样。

自动网络安全扫描不是解决安全漏洞的灵丹妙药。它应始终与常规手动渗透测试结合使用。这种方法将有助于保持您的网络存在既安全又合规。