SAST、DAST、IAST几种测试工具的比较

已于 2022-12-04 20:33:44 修改
阅读量6.8k 收藏 9
点赞数 1
分类专栏: Security 文章标签: 测试工具
于 2020-07-02 15:40:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/107085377
版权

在安全测试中都会遇到SAST(Static Application Security Testing )、DAST(Dynamic Application Security Testing )、IAST(Interactive Application Security Testing )的概念, 这三种工具各有优劣势,根据自己的经验对三种工具的比较如下:

    比较项

SAST

DAST

IAST

扫描对象

源代码

运行时的应用程序

运行时的应用程序

扫描准备

简单

复杂

复杂

扫描速度

很慢

误报率

覆盖率

对环境的影响

测试方法

白盒

黑盒

黑盒

与开发语言关系

有关

无关

有关

CI/CD集成

支持

不支持

不支持

支持测试阶段

研发、测试、上线

测试、上线

测试、上线

部署

简单

简单

复杂

        由于每种工具都有自己的特点,可以根据企业的内部需求,选择合适的工具组合。

        总体来说,

        SAST工具效率比较高,但是,有误报的问题,需要人工筛选。

        DAST基本上没有误报,而且攻击的向量和环境都结合的很好,不需要人工确认,也没有误报,但是,执行速度太慢,在使用敏捷开发的团队,可能很难有效地利用。

        IAST由于部署比较麻烦,而且和语言的关联性比较大,有的语言不支持IAST的插桩技术,例如:C和C++等语言,就不能使用IAST了,因此,即使没有什么误报,目前应用的还不是很广泛。

jimmyleeee
关注
专栏目录
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 495
应用程序安全是个永恒的话题,而SAST、DASTIAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
墨痕诉清风的博客
06-01 1551
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。
“洞态” IAST 交互式安全测试工具即将在 Gitee 开源
ZicoChan的博客
08-31 4022
2021 年 9 月 1 日,火线安全平台(以下简称“火线”)宣布正式开源 DevSecOps 应用安全产品“洞态”,这也将是全球专业 IAST 领域的首个开源项目。 据了解,火线是国内知名的白帽子平台,拥有大量安全专家及头部互联网和金融客户。洞态 IAST 早期主要供火线平台的合作企业使用,目前,包括去哪儿网、轻松筹、百世快递、同程旅行、掌门1对1等知名公司都已将洞态 IAST 作为 DevOps 环节中的重要安全工具。 火线安全平台创始人邬迪表示,敏捷开发的普及让企业可以更高效的生产应用,同时也意味着产
SAST :静态应用程序安全测试
最新发布
网络研究观
09-01 697
静态应用程序安全测试 (SAST) 一直是应用程序安全工作的核心部分。
渗透测试常用工具总结——DASTSAST、IAST
m0_61506558的博客
01-03 1252
IAST是什么?交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。IAST全称为 “交互式应用程序安全测试” ,通过利用Agent来监控应用程序运行时的函数执行情况,采集相关数据,与服务端进行实时交互,从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数,方便开发团队及时修复漏洞。
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
一文搞懂:开发安全中的SAST、DASTIAST和RASP
qq_21408865的博客
06-05 1703
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
详解安全测试工具SAST、DASTIAST、SCA的异同
qzt961003的博客
08-25 5120
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。
安装运行DASTSAST、IAST工具至少各一种,设计对比实验
06-13
最后,IAST(交互式应用程序安全测试)工具是一种结合了DASTSAST的工具,它可以在运行时检测到应用程序中的漏洞,并同时分析源代码以确定漏洞的根本原因。常见的IAST工具包括:Contrast Security、Rapid7、Qualys...
SAST,DASTIASTSAST,DASTIAST区别及原理
无为
03-26 1006
SAST,DASTIAST区别及原理
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等情况,尤其是使用了自定义的过滤函数 二, :rocket:火线〜洞态IAST极速体验 快速开始请查看 三,检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql,mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 头注入 XXE 不安全的readline 不安全的重新 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置安全 反射注入 第三方组件收集及防御检测 四,问答区
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
浅谈IAST,DAST,SAST之区别
TT成长博客
03-02 3083
之前在一本书里看到过IAST,简单知道一些,未作深究,但是最近发现在安全咨询里,越来越多被提及,那么就强化学习一下吧。还有拟态安全,放在下次。安全的路上,真的是学无止境啊。 Web应用安全测试,主要分为3大类别。 DAST
安全测试工具分为 SAST、DASTIAST 您知道吗?
liwenxiang629的博客
11-20 770
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DASTIAST。本文就带大家快速的了解这三者的本质区别!
IAST 工具初探
05-26 1323
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
为什么都在选择IAST作为安全漏洞检测工具
xlsj雪松的博客
03-18 516
为什么都在选择IAST作为安全漏洞检测工具
如何选择合适的SAST工具
jimmyleeee的专栏
04-04 1034
随着敏捷开发的流行,安全左移的重要性也越来越重要,实现安全的自动化,也就需要大量工具的支持,SAST工具是其中非常重要的一个工具。如何选择一个合适的SAST工具就非常重要。本文集合自己几年的SAST的开发经验和多年的SAST的使用经验,介绍一些选择SAST工具的几个需要关注的重要的方面。 1. 支持的语言与框架 这一点不言而喻,工具支持的语言是最重要的,如果使用的语言工具都不支持或者支持的不足够好,这种工具再好,也没有用。 当然,语言支持了,只是第一步,因为一个工程的开发,不可能在原生语言基础上来开发
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1496
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值