IAST工具是如何工作的?主动和被动IAST有什么区别?

2023-05-08 14:34

我们在做软件安全防护的实践过程中经常遇到一些问题:IAST技术是如何工作以实现安全防护的?主动和被动IAST有什么区别呢?今天我们就来进行答疑解惑。


首先我们来看下Gartner对IAST的定义:



交互式应用程序安全测试(IAST)使用结合了动态应用程序安全测试(DAST)和静态应用程序安全测试(SAST)技术的工具来提高应用程序安全测试的准确性。                               IAST工具可提供类似DAST的漏洞利用和SAST的应用程序代码覆盖的能力,并且在某些情况下,允许在常规应用程序测试阶段进行安全自测。IAST工具可以独立运行,也可以作为更大的AST套件(通常是DAST) 的一部分运行。



具体来讲,IAST工具通过以下几种手段对软件进行安全检测。




获取被测信息进行实时分析

自动化安全测试的检测基础是获取被测应用程序的各种信息,基于对这些信息分析得到应用程序的安全弱点。在开发工程师、测试工程师或者自动化测试脚本进行功能测试的同时,实时分析软件安全弱点。




运用插桩技术

利用Java自身提供的Instrumentation API与JVM Tool Interface实现插桩技术,应用到产品的安全检测中。




运用污点分析技术


分析程序中由污点源引入的数据,是否能够不经过无害处理,而直接传播到污点汇聚点。



主动IAST VS 被动IAST

为解决传统DAST无法精确定位漏洞位置和传统SAST技术高误报率的问题,主动IAST需要两个主要组件:DAST组件和传感器附加到正在运行的应用程序。此外,主动IAST在脏数据处理方面表现出色,并且可以对应用测试结果进行全方位复现和验证,从而协助用户提高漏洞收敛效率。


在测试阶段,如果应用程序遭到攻击,主动IAST会扫描URL并向它们发送已知攻击有效载荷的列表。然后,传感器将监测基于传入攻击有效载荷的漏洞应用程序。与传统DAST相比,该方法更加高效,用户可以更快速监测漏洞,无需等待安全扫描完成。此外,该方法还可以提供应用程序安全性(AppSec)状态的快照。


被动IAST是一种需要与应用程序一起运行的探针。主动IAST需要攻击应用程序来识别漏洞,而被动IAST通过探针在运行时持续监视应用程序的所有流量,即可识别漏洞。最重要的区别在于,用户不再需要攻击应用程序来主动查找安全漏洞。


要确保应用程序的质量和效果,需要使用各种不同的测试方法,包括手动和自动化的测试,以及在生产环境中对应用程序进行测试。这样才能够对应用程序的各个方面进行全面测试。被动IAST将应用程序的所有使用操作都转变为一种“安全测试”,使其成为一种更安全更高效的测试解决方案,避免用户为安全测试而单独部署基础设施。


被动IAST的探针以静默方式持续监视指向应用程序的所有常规流量,在运行时查找漏洞。被动IAST方法的主要优点是其成本效益高,在应用程序中发现更多的安全问题,因为它可以检测未知的漏洞而不需要安全专家或附加工具。


Agent(探针)是被动IAST的关键技术,Agent(探针)需要结合不同编程语言进行开发,通过插桩技术,在程序运行时监视应用并分析代码。Management Server即为VulHunter管理平台,主要包括Server和Agent两大组件。

主动和被动IAST各有优势,但在大多数情况下,应该选择被动IAST,因为其在AppSec程序中最具拓展性和可管理性。




如何让两者两全其美?

我们进一步探索,可以将主动IAST与被动IAST相结合,以被动IAST为主,主动IAST用于辅助验证功能,进行测试,适用范围广,可定位到漏洞代码也无脏数据产生。在测试阶段对应用程序执行安全自检,实现两种测试结果的结合,有助于确保应用程序在发布之前的安全稳定。