Poziom 2 – polecane narzędzia

Dostępne są 2 kategorie zalecanych narzędzi do testowania zabezpieczeń aplikacji poziomu 2: wstępnie skonfigurowane i narzędzia niestandardowe. Wstępnie skonfigurowane narzędzia do skanowania to: OWASP Zed Attack Proxy (ZAP) do skanowania dynamicznego i Ataki płynne* (w przypadku skanowania statycznego). Dla tych narzędzi utworzono pliki konfiguracji, które można znaleźć w gotowej sekcji skanowania poniżej.

Jeśli nie skanujesz już aplikacji  na platformach zgodnych z CWE, nie musisz używać wstępnie skonfigurowanych narzędzi. W takim przypadku musisz przesłać zasadę określającą, które aplikacje CWE chcesz skanować. Dalsze instrukcje znajdziesz w sekcji skanowania niestandardowego poniżej.


* UWAGA: wstępnie skonfigurowane narzędzie do skanowania statycznego NIE jest zgodne z aplikacjami TypeScript ani JavaScript. Jeśli Twoja aplikacja jest napisana w języku TypeScript lub JavaScript, użyj jednego z niestandardowych statycznych narzędzi do skanowania.

Wstępnie skonfigurowane skanowania

Narzędzie do skanowania Web Mobile Local API Extension Serverless Instrukcje
OWASP® Zed Attack Proxy (ZAP)

Użyj kontenera OWASP ZAP ; aby automatycznie uruchamiać skanowanie dynamiczne (DAST) w aplikacji. Wstępnie zdefiniowane pliki konfiguracji mają już wszystkie niezbędne CWE. Wystarczy tylko, że dodasz je do swojego środowiska i do polecenia uruchomienia Dockera. Zacznij tutaj

FluidAttacks Free & Open Source CLI

Wykorzystaj interfejs wiersza poleceń fluidAataks do wykonywania automatycznych skanów statycznych (SAST) w aplikacji. Obraz Dockera został utworzony, aby uwzględnić wszystkie niezbędne CWE. Wystarczy uruchomić kontener i uruchom w nim polecenie skanowania. Zacznij tutaj

Niestandardowe narzędzia DAST / SAST

Możesz używać dowolnego narzędzia do skanowania aplikacji zgodnego z CWE, które spełnia wymagania dotyczące skanowania niestandardowego CASA.Poniżej znajdziesz listę komercyjnych i otwartych źródeł (niekompletnych) dostępnych jako przykłady narzędzi zgodnych z CWE.

Zacznij tutaj