Ebene 2 – Empfohlene Tools

Es gibt zwei Kategorien von empfohlenen Tools für die Durchführung von Anwendungssicherheitstests der Stufe 2: vorkonfigurierte und benutzerdefinierte Tools. Die vorkonfigurierten Scantools sind OWASP Zed Attack Proxy (ZAP) für das dynamische Scannen und Fluid-Angriffe* für statische Scans. Für diese Tools wurden Konfigurationsdateien erstellt, die Sie unten im Abschnitt zum vorkonfigurierten Scan finden.

Sie brauchen die vorkonfigurierten Tools nicht zu verwenden, wenn Sie Ihre Anwendung bereits  mit CWE-kompatiblen Plattformen scannen. In diesem Fall müssen Sie eine Richtlinie hochladen, die angibt, welche CWEs Sie scannen. Weitere Informationen finden Sie unten im Abschnitt zum benutzerdefinierten Scannen.


* HINWEIS: Das vorkonfigurierte statische Scantool ist NICHT mit TypeScript- oder JavaScript-Anwendungen kompatibel. Verwenden Sie eines der benutzerdefinierten statischen Scantools, wenn Ihre Anwendung in TypeScript oder JavaScript programmiert ist.

Vorkonfigurierte Scans

Scan-Tool Web Mobile Local API Extension Serverless Anleitung
OWASP® Zed Attack Proxy (ZAP)

Mit dem OWASP-ZAP ; ZAP-Docker-Container können Sie automatisierte dynamische Scans (DAST) für Ihre Anwendung ausführen. Vordefinierte Konfigurationsdateien enthalten bereits alle erforderlichen CWEs. Dazu müssen Sie es nur Ihrer Umgebung und dem Docker-Ausführungsbefehl hinzufügen. Jetzt starten

FluidAttacks Free & Open Source CLI

Nutzen Sie FluidAttacks Open-Source-CLI, um automatisierte statische (SAST) Scans für Ihre Anwendung durchzuführen. Es wurde ein Docker-Image erstellt, das alle erforderlichen CWEs enthält. Starten Sie einfach den Container und führen Sie den Scanbefehl darin aus. Hier starten

Benutzerdefinierte DAST-/SAST-Tools

Sie können alle CWE-kompatiblen App-Scantools verwenden, die den CASA-Anforderungen für benutzerdefinierte Scans entsprechen.Eine Liste der kommerziellen und Open-Source-Optionen (nicht vollständig) finden Sie unten als Beispiele für CWE-kompatible Tools

Hier starten