DAST testuje běžící aplikaci zvenku — jako útočník. Najde runtime zranitelnosti, které SAST nevidí.
OWASP ZAP¶
Docker — automatický scan¶
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \ -t https://target.com -r report.html
Full scan¶
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-full-scan.py \ -t https://target.com
Nuclei¶
Instalace¶
go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
Skenování¶
nuclei -u https://target.com -t cves/ nuclei -u https://target.com -t vulnerabilities/
CI/CD¶
GitHub Actions — ZAP baseline¶
- name: ZAP Scan uses: zaproxy/[email protected] with: target: ‘https://staging.example.com’
Key Takeaway¶
DAST = testování běžící aplikace. ZAP pro web apps, Nuclei pro infra. Kombinujte se SAST pro kompletní pokrytí.
securitydasttestingzap