一、IAST简单介绍
IAST(Interactive Application Security Testing)交互式应用程序安全测试,通过服务端部署Agent探针,流量代理/VPN或主机系统软件等方式,监控Web应用程序运行时函数执行并与扫描器实时交互,高效、精准的安全漏洞,是一种运行时灰盒安全测试技术。在分析并评估了业界主流的几家IAST产品后,发现IAST一般可以提供agent插桩检测、流量代理、流量信使等几种漏洞检测模式,其中除agent插桩模式外,其余几种检测模式与DAST被动漏洞扫描的原理一致,所以本篇文章我们主要分析agent插桩模式。
agent插桩的检测模式,一般分为主动和被动模式。那怎么理解agent插桩模式呢?我们结合JavaAgent技术来做解释。-javaagent是java命令的一个参数,该参数可以指定一个jar包,该jar包内实现了一个premain()方法,在执行正常程序的main()方法会先运行这个premain方法,是一个JVM层做功能增强的机制。说到java的功能增强,可以想到动态代理、Spring AOP、拦截器等技术,这些方式主要是在函数执行前后做一些增强逻辑,而JavaAgent可以直接获取到类加载前的字节码,再结合一些字节码修改技术,从而通过修改字节码来增强函数功能。通过这种方式,我们可以获取类、方法的一些信息,比如类名、方法名、参数、返回值等,同时也可以做一些拦截操作。所以,这项技术通常被用于实现调用链监控、日志采集等组件,而在安全方向的应用,IAST和RASP则是典型例子。
对于IAST来说,agent的检测模式通常被分为被动模式和主动检测模式。在被动模式下,agent可以动态获取一次请求的调用链、数据流等信息,基于获取的信息,IAST可以做一些基于污点追踪的白盒分析,从而检测该次请求的调用链中是否存在漏洞;在主动模式下,agent会hook一些危险函数,当一次请求触发到这些危险函数后,agent会将该次请求发送给IAST server端,并使用DAST能力发送攻击payload做主动验证。基于这些特性,IAST非常适合融入到DevOps的测试环节,在业务测试完成正常功能逻辑测试工作的同时,无感知的进行一些安全漏洞的检测。
IAST被动检测模式
IAST主动检测模式
这里我们主要研究一下IAST被动检测模式的细节,该检测模式也是IAST首推的检测模式。在上文提到,在被动检测模式下,agent主要用来做Web应用程序的数据采集并传至分析引擎,分析引擎做白盒分析。接下来,我们就实际的去实现一个agent,对一次请求做调用链数据采集。
还是以Java为例,实现一个agent需要掌握以下几种技术:
JavaAgent技术。
字节码修改技术。主流的字节码修改工具有javassist、Byte Buddy和ASM等,其中javassit的使用比较简单,ASM则较为复杂且需要对.class文件结构、变量表等底层知识有一定的理解,但是其性能更优。我们这里只是写一个简单讲解一下agent的工作逻辑,所以我们选择使用javassist。
JVM类加载机制。
ThreadLocal
接下来,我们来简单写几个例子介绍一下这几项技术。
二、JavaAgent
前文已经基本介绍了JavaAgent这项技术,而实际实现一个JavaAgent需要以下几个步骤:
定义一个MANIFEST.MF文件,必须包含Premain-Class选项,通常也会加入Can-Redfine-Classes和Can-Restransform-Classes选项。
创建一个Premain-Class指定的类,类中包含premain方法,方法逻辑由用户自己去编写。
将premain的类和MANIFEST.MF文件打成jar包。
使用-javaagent参数,启动要代理的方法。
在执行以上步骤后,JVM会先执行premain()方法,大部分类加载前都通过该方法。
通过上