Có hai loại công cụ được đề xuất để thực hiện thử nghiệm bảo mật ứng dụng Cấp 2: công cụ được định cấu hình trước và công cụ tuỳ chỉnh. Các công cụ quét được định cấu hình sẵn là OWASP Zed Strike Proxy (ZAP) để quét động, và Linh hoạt tấn công* để quét tĩnh. Bạn có thể tìm thấy các tệp cấu hình cho những công cụ này trong phần quét được định cấu hình sẵn bên dưới.
Bạn không phải sử dụng các công cụ đã định cấu hình sẵn nếu bạn đã quét ứng dụng bằng các nền tảng tương thích với CWE. Trong trường hợp này, bạn sẽ cần phải tải một chính sách lên, trong đó chỉ định các CWE mà bạn đang quét. Bạn có thể tìm thêm hướng dẫn trong phần quét tuỳ chỉnh bên dưới.
* LƯU Ý: Công cụ quét tĩnh được định cấu hình trước KHÔNG tương thích với các ứng dụng TypeScript hoặc JavaScript. Vui lòng sử dụng một trong các công cụ quét tĩnh tuỳ chỉnh nếu ứng dụng của bạn được lập trình bằng TypeScript hoặc JavaScript.
Các bản quét được định cấu hình sẵn
| Công cụ quét | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Hướng dẫn |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Sử dụng vùng chứa OWASP ZAP ; ZAP Docker để thực hiện quá trình quét động tự động (DAST) dựa trên ứng dụng của bạn. Các tệp cấu hình định sẵn đã có tất cả các CWE cần thiết. Bạn chỉ cần thêm mã này vào môi trường và lệnh chạy Docker. Bắt đầu tại đây |
||||||
FluidAttacks Free & Open Source CLI |
Tận dụng CLI nguồn mở fusionuộc tấn công để thực hiện quá trình quét tĩnh tự động (SAST) đối với ứng dụng của bạn. Một hình ảnh Docker đã được tạo để bao gồm tất cả các CWE cần thiết. Chỉ cần xoay vùng chứa và chạy lệnh quét trong vùng chứa đó. Bắt đầu tại đây |
Công cụ DAST / SAST tuỳ chỉnh
Bạn có thể sử dụng bất kỳ công cụ quét ứng dụng tương thích với CWE nào đáp ứng các yêu cầu quét tuỳ chỉnh của CASA.Bạn có thể xem danh sách các lựa chọn nguồn mở và thương mại (không đầy đủ) dưới đây để làm ví dụ về các công cụ tương thích với CWE
Bắt đầu tại đây