Обзор FAST DSL

FAST предоставляет пользователям предметно-ориентированный язык (domain-specific language, DSL) для описания расширений. Теперь вы можете создать собственные расширения для обнаружения уязвимостей в вашем приложении, не имея специфических навыков в программировании. Механизм расширений дает возможность ввести дополнительную пользовательскую логику по обработке базовых запросов и поиску уязвимостей для тестируемого приложения.

Расширения FAST позволяют генерировать тесты безопасности, основанные либо на модификации параметров выбранных базовых запросов, либо на использовании предопределенной полезной нагрузки (payload). Созданные тесты безопасности отправляются целевому приложению. На основании полученных от приложения ответов на запросы делается вывод о наличии или отсутствии уязвимостей (логика обнаружения факта наличия уязвимости также задается расширением FAST).

Расширения описываются с использованием YAML. Предполагается, что вы знакомы с синтаксисом YAML и структурой YAML-файлов. Более подробная информация доступна по ссылке.

Логика работы расширений может включать в себя элементы, описанные с помощью регулярных выражений. Расширения FAST поддерживают только синтаксис регулярных выражений языка программирования Ruby. Предполагается, что вы знакомы с синтаксисом регулярных выражений Ruby. Более подробная информация доступна по ссылке.

Синтаксис описания элементов запроса

При создании расширения FAST вам необходимо понимать структуру HTTP-запроса к приложению и ответа от приложения, чтобы корректно описывать элементы запроса, с которыми необходимо работать.

Более подробная информация о синтаксисе описания элементов запроса доступна здесь.

results matching ""

    No results matching ""