干货 | IAST安全测试如何防止数据污染

作者简介

 

Eric，携程资深开发工程师，关注应用安全、渗透测试方面的技术和相关开源产品的二次开发。

一、前言

携程信息安全部门目前在研究百度OpenRASP技术，让它在携程落地进行服务漏洞扫描防护。做安全漏洞测试的同学都知道，用类似黑盒测试工具测试服务漏洞的时候，在测试服务接口的请求上做参数注入的修改，会污染测试服务的数据源，OpenRASP技术也不例外。

本文主要讲述我们IAST漏洞扫描系统中OpenRASP在携程快速部署及如何防止流量重放对数据污染的一系列实践经验。让业务部门无感知地发现他们的服务在测试环境中暴露的漏洞。

 

这里先简单介绍下什么是IAST，DAST和RASP。

IAST：Interactive Application Security Testing，交互式应用安全测试。近实时检测、误报率极低、可定位到代码行数、展示污点调用过程等等，非常适用于敏捷开发和DevOps理念。可以在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，无感知的完成安全测试，解决了现有应用安全测试技术面临的挑战。我们该套IAST产品中也会尽力体现污点调用过程，偏向代码层。

 

DAST：Dynamic Application Security Testing，动态应用程序安全测试。在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该Web应用是否易受攻击。这种技术主要采用渗透测试，发现应用系统的潜在风险。

 

RASP：Runtime Application Security Testing，运行时应用安全测试。很多企业在上线前进行漏洞检测，都要求解决高中危漏洞，在业务紧急上线的情况下，低危漏洞往往可以选择性地忽略，DevOps因为强调速度，这种情况会更多。但是作为一个安全人员或者项目经理，忽略低危漏洞真的放心吗？攻击者可能不会通过这些低危漏洞来直接攻击业务，但是往往会成为攻击链中的一环，获取某些敏感信息等，那RASP的作用就是，在运维阶段继续针对性的保护那些被忽略的低危漏洞。

 

二、挑战

IAST/RASP的原理在这里就不介绍了，其主要优点就是检测精准。技术是好技术，但要在企业中大规模部署，缺点也很明显：

1）因为在从IAST agent（OpenRASP）回传的流量会再次通过黑盒扫描工具DAST（修改请求参数）重放流量，这会给待测试的服务造成数据污染。对于测试人员，这会影响到服务的测试流程，进而影响测试人员在服务里接入IAST Agent的意愿。目前业界也没有很好的方案来解决IAST黑盒测试产生的脏数据，如新思seeker只是通过其他机制减少脏数据的产生。

2）要实现大规模部署，携程集团有几千个应用系统、上万台服务器的适配、测试、部署、维护…推广和维护工作太重。虽然在c0debreak大佬团队的努力下，rasp agent对服务器的性能影响已控制到3%左右。但在旅游交易系统中，我们也不敢轻易