结果: Arachni 发现了诸如不安全的直接对象引用和跨站点请求伪造 (CSRF) 等漏洞。团队及时解决这些问题,维护了平台的安全完整性。
3. 医疗应用安全
场景:医疗保健提供商希望保护其患者门户,该门户存储了敏感的个人健康信息 (PHI)。
执行:
使用的工具: OWASP ZAP
流程:医疗保健提供商的 IT 部门使用 OWAS 决策者电子邮件列表 P ZAP 执行自动和手动患者门户测试。他们配置 ZAP 以模拟各种攻击媒介并分析应用程序的响应。
结果:测试发现了 XSS 和不安全的身份验证机制等漏洞。团队缓解了这些漏洞,确保遵守 HIPAA 等医疗保健法规。
4.金融服务API安全测试
场景:一家金融服务公司需要确保用于移动和 Web 应用程序的 API 的安全性。
执行:
使用的工具: OWASP ZAP
流程:该公司使用 OWASP ZAP 测试其RESTful API。ZAP集成到 CI/CD 管道中,可实现持续的安全测试。
结果: DAST 工具暴露了输入验证不足和错误处理不安全等问题。开发团队修复了这些问题,增强了 API 的安全性。
OWASP DAST 的局限性
