2. Katman uygulama güvenlik testlerinizi gerçekleştirmeniz için iki önerilen araç kategorisi vardır: önceden yapılandırılmış ve özel araçlar. Önceden yapılandırılmış tarama araçları, dinamik tarama için OWASP Zed Saldırı Proxy'si (ZAP), statik tarama için Değişken Saldırıları*'dır. Bu araçlar için yapılandırma dosyaları oluşturuldu ve aşağıdaki önceden yapılandırılmış tarama bölümünde bulunabilir.
CWE uyumlu herhangi bir platformla uygulamanızı zaten tarayorsanız önceden yapılandırılmış araçları kullanmanız gerekmez . Bu durumda, hangi CWE'leri taradığınızı belirten bir politika yüklemeniz gerekir. Diğer talimatlar aşağıdaki özel tarama bölümünde bulunabilir.
* NOT: Önceden yapılandırılmış statik tarama aracı, TypeScript veya JavaScript uygulamalarıyla uyumlu DEĞİLDİR. Uygulamanız TypeScript veya JavaScript ile programlanmışsa özel statik tarama araçlarından birini kullanın.
Önceden Yapılandırılmış Taramalar
| Tarama Aracı | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Talimatlar |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Uygulamanıza karşı otomatik dinamik taramalar (DAST) gerçekleştirmek için OWASP ZAP ; ZAP Docker container'ını kullanın. Önceden tanımlanmış yapılandırma dosyalarında gerekli tüm CWE'ler zaten vardır. Tek yapmanız gereken onu ortamınıza ve Docker Run komutuna eklemektir. Buradan Başlayın |
||||||
FluidAttacks Free & Open Source CLI |
Uygulamanıza karşı otomatik statik (SAST) taramalar yapmak için FluitAttacks açık kaynak KSA'dan yararlanın. Gerekli tüm CWE'leri içerecek bir Docker görüntüsü oluşturuldu. Container'ı döndürüp içindeki tarama komutunu çalıştırmanız yeterlidir. Buradan başlayın |
Özel DAST / SAST Araçları
CASA özel tarama gereksinimlerini karşılayan tüm CWE uyumlu uygulama tarama araçlarını kullanabilirsiniz.Ticari ve açık kaynak seçeneklerinin bir listesi (kapsamlı değildir) aşağıda CWE uyumlu araçlar olarak verilmiştir
Buradan Başlayın