GitLab 推出基于浏览器的动态应用安全测试(DAST)扫描

GitLab 发布基于浏览器的动态应用安全测试(DAST)功能

GitLab 在 16.4 版本(或 DAST 4.0.9)中引入了基于浏览器的动态应用安全测试(DAST)功能。这一更新是 GitLab 持续增强基于浏览器的 DAST 的一部分,通过集成被动检查,此次发布还包括主动检查功能。

主要更新内容

  1. 主动检查功能

    • 进行主动扫描(完整扫描)的客户将自动使用 GitLab 的主动检查,同时相应 ZAP 警报将被停用。
    • 客户可以通过设置 CI/CD 变量 DAST_FF_BROWSER_BASED_ACTIVE_ATTACKfalse 来禁用 GitLab 主动检查并恢复使用 ZAP 警报。
  2. 关键变化

    • 此次更新用 GitLab 主动检查替代了 ZAP 警报,特别是使用 GitLab 22.1 检查来检测路径遍历漏洞。
    • 这一变化旨在提高对现代 Web 应用程序中漏洞的检测能力,帮助开发者和安全团队更好地识别问题。
  3. 主动检查的工作原理

    • 主动检查是指在 DAST 扫描的主动扫描阶段,通过运行一系列攻击模拟来识别 Web 应用程序中的特定弱点。
    • 该过程包括在爬取阶段记录的 HTTP 请求中识别注入位置(如 cookie 值、请求路径、头部和表单输入),并使用各种有效负载(文本或二进制内容)测试这些注入点。
    • 生成的 HTTP 请求的响应会被分析,以确定攻击是否成功。

相关背景

  • “左移”趋势的讨论
    Elephant in AppSec 播客中,Meta 的首席安全工程师 Aleksandr Krasnov 强调了技术行业日益增长的“左移”趋势,即在软件开发生命周期(SDLC)早期集成安全性。然而,他提醒不应忽视 SDLC 后期阶段的重要性,并指出当前 DAST 工具效率低下,未能为组织和安全工程师提供显著价值。
  • DAST 扫描的工作流程

    • DAST 扫描在基于浏览器的环境中运行,从 DAST_WEBSITE 环境变量中获取应用程序的 URL。建议在测试环境中运行 DAST 扫描,而非生产环境。
    • 对于在 CI/CD 管道中创建的临时环境,URL 可以存储在 environment_url.txt 文件中,并通过 DAST 扫描模板作业配置 DAST_WEBSITE 变量。
    • DAST 扫描的持续时间可能较长,建议为运行扫描的 Runner 设置足够长的作业超时时间,并调整项目级别的 CI/CD 超时设置。

更多信息

  • 有关 GitLab 基于浏览器的 DAST 扫描的更多信息,请参阅官方文档
  • DAST 扫描功能可在 GitLab Ultimate 的免费试用中使用。
阅读 26
0 条评论