概述
IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。
实现原理
IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式。
代理模式,在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。
插桩模式,插桩模式是在保证目标程序原有逻辑完整的情况下,在特定的位置插入探针,在应用程序运行时,通过探针获取请求、代码数据流、代码控制流等,基于请求、代码、数据流、控制流综合分析判断漏洞。插桩模式具体实现有2种模式,Active 插桩和Passive 插桩。
本文介绍的就是Passive 插桩这种模式。
IAST部署
DongTai IAST 工具地址:https://github.com/HXSecurity/DongTai
本地化部署可使用 docker-compose 部署,拉取代码,一键部署。
git clone git@github.com:HXSecurity/DongTai.git
cd DongTai
chmod u+x build_with_docker_compose.sh
./build_with_docker_compose.sh
docker ps -a
看一下起的容器
登录web
首次使用默认账号 admin/admin 登录,配置 OpenAPI 服务地址,即可完成基本的环境安装和配置。
项目初体验
以 Webgoat 作为靶场,新建项目,加载 agent,正常访问 web 应用,触发 api 检测漏洞。
webgoat项目地址:https://github.com/WebGoat/WebGoat
加载代理
java -javaagent:agent.jar -Dproject.name=webgoat -jar webgoat-server-8.1.0.jar --server.port=10133 --server.address=192.168.40.86
注意:-Dproject.name=与创建的项目名称保持一致,agent将自动关联至项目;如果不配置该参数,需要进入项目管理中进行手工绑定。
访问靶场webgoat后,查看IAST检测到的漏洞
其他功能,还在试用中,以后更新…