WEB应用安全测试技术——IASA

三种技术应用场景分析

IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术，曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势，漏洞检出率极高、误报率极低，同时可以定位到API接口和代码片段。

1. 实现原理

IAST的实现模式较多，常见的有代理模式、VPN、流量镜像、插桩模式，本文介绍最具代表性的2种模式，代理模式和插桩模式。

代理模式：在PC端浏览器或者移动端APP设置代理，通过代理拿到功能测试的流量，利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。

插桩模式：插桩模式是在保证目标程序原有逻辑完整的情况下，在特定的位置插入探针，在应用程序运行时，通过探针获取请求、代码数据流、代码控制流等，基于请求、代码、数据流、控制流综合分析判断漏洞。插桩模式具体实现有2种模式，Active 插桩和Passive 插桩。

1.代理模式实现原理

a. 功能测试人员在浏览器或者APP中设置代理，将IAST设备地址填入；

b. 功能测试人员开始功能测试，测试流量经过IAST设备，IAST设备将流量复制一份，并且改造成安全测试的流量；

c. IAST设备利用改造后的流量对被测业务发起安全测试，根据返回的数据包判断漏洞信息。

插桩需要在服务器中部署Agent，不同的语言不同的容器要不同的Agent，这对有些用户来说是不可接受的。而代理模式不需要服务器中部署Agent，只是测试人员要配置代理，安全测试会产生一定的脏数据，漏洞的详情无法定位到代码片段，适合想用IAST技术又不接受在服务器中部署Agent的用户使用。

2.Active插桩实现原理

a. 被测试服务器中安装IAST插桩 Agent；

b. DAST Scanner发起扫描测试；

c. IAST插桩 Agent追踪被测试应用程序在扫描期间的反应附加测试，覆盖率和上下文，将有关信息发送给Management Server，Management Server展示安全测试结果。

Active 插桩模式需要在被测试应用程序中部署插桩 Agent，使用时需要外部扫描器去触发这个Agent。一个组件产生恶意攻击流量，另一个组件在被测应用程序中监测应用程序的反应，由此来进行漏洞定位和降低误报。

Active 插桩模式更像是一种改进版的DAST技术，目前最新的AWVS、AppScan已经采用了Active 插桩模式。AWVS集成了“AcuSensor”模块，通过在源代码中部署传感器来增强定期动态扫描。AcuSensor能够在AWVS扫描期间检查Web应用程序执行时的源代码，在后端抓取应用程序，提供100％爬行覆盖率，查找并测试在黑盒扫描期间未发现的隐藏输入。AppScan则是集成了“Glass Box”服务模块，这使得AppScan支持 Web 2.0、JavaScript 和 AJAX 框架。

Active 插桩模式解决了传统DAST漏报和无法精确定位漏洞位置的问题，需要先做扫描，扫描触发漏洞需要一定的时间，而且扫描会对业务测试产生影响。在双向HTTPS加密、CSRF Token页面、防攻击重放等场景下Active 插桩模式依然无法进行安全测试。

3.Passive 插桩实现原理

a. 被测试服务器中安装插桩 Agent；

b. 插桩 Agent在应用程序运行时获取请求和代码数据流、代码控制流；

c. 插桩Agent将获取的信息发送给Management Sever，Management Sever展示安全测试结果。

Passive 插桩在程序运行时监视应用并分析代码，它不会主动对Web应用程序执行攻击，而是纯粹被动地分析检测代码。这实际上是一个巨大的优势，因为它不会影响同时运行的其他测试活动，并且只需要业务测试（手动或自动）来触发安全测试，有测试流量过来就可以实时的进行漏洞检测。

插桩模式的关键是Agent，Agent需要根据不同语言进行开发，但是功能基本相同：

• 获取请求数据和返回数据；
• 代码执行中的参数传递；
• 数据库查询（如ODBC）；
• 目录查询（如LDAP），文件系统权限；
• 监听内存中特定的值，识别受污染的输入；
• 第三方库的使用;
• 对外部应用程序和服务的调用；
• 特定代码的执行等。

2. IAST优劣势分析

IAST代理模式的优劣势，在上文已提到，这里不再赘述。

IAST插桩模式的技术基于请求、代码、数据流、控制流综合分析判断漏洞，漏洞测试准确性高，误报率极低。由于IAST插桩模式可获取更多的应用程序信息，因此发现的安全漏洞既可定位到代码行，还可以得到完整的请求和响应信息，完整的数据流和堆栈信息，便于定位、修复和验证安全漏洞。支持测试AJAX页面、CSRF Token页面、验证码页面、API孤链、POST表单请求等环境。

IAST插桩模式在完成应用程序功能测试的同时即可以实时完成安全测试，且不会受软件复杂度的影响，适用于各种复杂度的软件产品。不但可以检测应用程序本身的安全弱点，还可以检测应用程序中依赖的第三方软件的版本信息和包含的公开漏洞。整个过程无需安全专家介入，无需额外安全测试时间投入，不会对现有开发流程造成任何影响，符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。

IAST插桩模式的核心技术在于探针，探针需要根据不同的语言进行开发，它只能在具有虚拟运行时环境的语言上执行，例如Java，C＃，Python和NodeJS。它不支持C，C ++和Golang等语言。其次，由于agent与真实webserver集成，稳定性非常重要，每次更新需要重启webserver，部署成本较大。业务逻辑漏洞也是IAST插桩模式无法解决的问题。