IAST 工具初探

已于 2023-03-13 15:29:59 修改
阅读量1.4k 收藏 8
点赞数
文章标签: 编程语言 java python 人工智能 大数据
于 2021-05-26 21:20:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/117315753
版权

IAST:交互式应用程序安全测试(Interactive Application Security Testing)。

近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。

本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。

1、openrasp-iast

openrasp-iast 是一款灰盒扫描工具,目前开源的IAST扫描器,通过安装Agent和扫描器,能够结合应用内部hook点信息,针对获取到的url请求参数进行fuzz,从而检测到安全漏洞。支持的编程语言:Java、PHP官方文档:安装灰盒扫描工具 - OpenRASP 官方文档 - 开源自适应安全产品

2、火线~洞态IAST

洞台IAST提供SAAS平台,通过填写问卷注册登录控制台,下载Agent进行应用部署,然后正常访问应用,就可以触发漏洞检测,漏洞结果提供比较详细的HTTP数据包和污点流图,可用于快速验证和复现漏洞。支持的编程语言:Java、C#、Net Core。官方主页:https://hxsecurity.github.io/DongTaiDoc/#/

3、Semmle QL

以一种独特的方法寻找代码中的漏洞,将代码当成数据,将分析问题变成对数据库的请求。支持的编程语言:Java,Python,JavaScript,TypeScript,C#,Go,C/C ++。免费检测平台:https://lgtm.com

“洞态” IAST 交互式安全测试工具即将在 Gitee 开源
ZicoChan的博客
08-31 4125
2021 年 9 月 1 日,火线安全平台(以下简称“火线”)宣布正式开源 DevSecOps 应用安全产品“洞态”,这也将是全球专业 IAST 领域的首个开源项目。 据了解,火线是国内知名的白帽子平台,拥有大量安全专家及头部互联网和金融客户。洞态 IAST 早期主要供火线平台的合作企业使用,目前,包括去哪儿网、轻松筹、百世快递、同程旅行、掌门1对1等知名公司都已将洞态 IAST 作为 DevOps 环节中的重要安全工具。 火线安全平台创始人邬迪表示,敏捷开发的普及让企业可以更高效的生产应用,同时也意味着产
2025 IAST工具推荐︱用IAST工具做API安全治理与防护
软件供应链安全选型指南
02-13 1028
此外,RASP还可以通过检测API调用的参数,以及检测API调用的状态持续监控自己的行为,根据内置的敏感数据分析引擎,按照指定部分敏感数据类型或自定义敏感数据特征,在数据传输过程中发现并预警传输过程中可能存在的敏感信息泄露,结合探针的运行态特征,对指定敏感数据进行屏蔽、遮盖、变形处理,从而有效防止敏感数据的泄露,从而保护API免受数据盗窃、恶意输入和行为的影响,实现对API攻击提供主动防御能力。IAST插桩技术可以从应用中提取相关API资产,自动地分析应用和API中的自有代码,梳理应用中的API资产。
IAST工具Semmle QL初探
manok的专栏
04-21 1848
Semmle公司获得2100美元的B轮融资,领投方为Accel Partners,这是后者第二次投资这家公司。其他投资者包括Work-Bench、Capital One、Credit Suisse、谷歌、微软、NASA和Nasdaq Trust。本轮融资后,Semmle的融资总额将达到3100万美元。那么被业界追捧的Semmle有什么产品呢? Semmle公司声称以一种独特的方法寻找代码中...
主流的安全测试工具知识点
最新发布
okcross0的博客
04-07 928
Burp Suite: 强大的Web应用安全测试平台,包括漏洞扫描和手动测试工具。确定测试范围和目标:明确要测试的应用、系统或网络的范围,以及测试的具体目标。Metasploit: 强大的渗透测试框架,支持各种攻击载荷和漏洞利用。交互分析:使用IAST工具结合SAST和DAST的优点,进行运行时分析。OpenVAS: 开源的漏洞扫描器,适用于网络和主机扫描。
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1781
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
软件开发安全左移最佳工具-iast
securitypaper的博客
06-07 620
交互式应用程序安全测试(IAST)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent 程序,收集、监控 Web 应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。- 来源[信通院 研发运营安全白皮书-2020年](http://www.github5.com/view/266) .........
OpenRASP-IAST:一款强大的灰盒扫描工具
gitblog_00663的博客
10-10 563
OpenRASP-IAST:一款强大的灰盒扫描工具 openrasp-iast IAST 灰盒扫描工具 项目地址: https://gitcode.com/gh_mirrors/op/openrasp-iast ...
openrasp-iast:IAST 灰盒扫描工具
05-12
【标题】:OpenRASP-IAST:灰盒扫描工具详解 【正文】: OpenRASP-IAST(Interactive Application Security Testing,交互式应用程序安全测试)是一款强大的灰盒扫描工具,它专注于提升软件的安全性,尤其在开发和...
一文精讲,用IAST工具做API安全防护
weixin_55163056的博客
08-15 1295
选择合适的API安全测试工具至关重要,企业需选择合适的API安全测试工具可以大幅提升测试效率,降低测试成本,减少被攻击风险。
IAST工具强化“越权检测”能力,提升系统安全性
weixin_55163056的博客
06-18 852
什么是越权漏洞,如何检测越权漏洞?
基于IAST技术的灰盒安全测试工具产品分析.pdf
04-19
基于IAST技术的灰盒安全测试工具有三种检测模式,包括被动污点跟踪、主动污点跟踪和未知模式。被动污点跟踪以应用系统的请求/响应流量为检测对象,采用设置代理、流量镜像等技术进行流量检测。主动污点跟踪则基于...
DongTai 被动型IAST工具
09-06 792
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
DongTai IAST 开源项目教程
gitblog_00673的博客
08-09 1087
DongTai IAST 开源项目教程 DongTaiDongtai IAST is an open-source Interactive Application Security Testing (IAST) tool that enables real-time detection of common vulnerabilities in Java applications and thir...
IAST 初探:博采众长、精准定位、DevOps友好
分享 GPU 管理与大模型推理相关技术实践
06-21 663
交互式应用安全测试(IAST)是近几年来兴起的应用安全测试技术,它结合了 SAST 和 DAST 的优势。本文将介绍它的概念、优势、工具类型以及重要性。
OpenRASP-IAST 灰盒扫描工具使用教程
gitblog_00485的博客
10-10 716
OpenRASP-IAST 灰盒扫描工具使用教程 openrasp-iast IAST 灰盒扫描工具 项目地址: https://gitcode.com/gh_mirrors/op/openrasp-iast ...
openrasp-iast 灰盒扫描工具
05-25 738
openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。在这里,我们通过docker部署控制台,接入一个PHP应用进行测试体验。 一、快速搭建环境 使用容器快速搭建一整套的测试环境,包含 IAST 扫描器、OpenRASP 管理后台 以及 漏洞测试用例。 sudo sysctl -w vm.max_...
2025 IAST工具推荐|云原生下的IAST落地实践
软件供应链安全选型指南
02-14 1035
开发阶段提前在数字化应用的容器环境中埋下IAST插桩探针,辅助开发团队将安全左移,在开发过程中提前发现潜在漏洞风险,随后应用在发布时,会携带探针一同打包上线,而应用上线后,伴生在应用中的探针就可以顺势转为RASP探针,扮演好积极防御的角色,相当于只需一次安装动作,就能够使探针伴随应用全生命周期,解决从开发、测试到运营阶段的关键安全问题。第三个技术创新表现在性能层面。正是由于IAST对云原生各安全场景的适应性,使其相较于其他传统安全测试技术而言,在云原生应用安全保障方面具备高度适配的能力和得天独厚的优势。
2025 IAST工具推荐 ︱IAST工具如何赋能企业开发安全?
软件供应链安全选型指南
02-27 1678
灵脉IAST灰盒安全测试平台是全球代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均领先、具备探针技术领先和实践成熟度的IAST产品,具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖90%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。在这个环境中,IAST主要是以工具方式接入,补充上线前的安全措施,并将安全前置,弥补公司前面没有做的安全测试覆盖。
渗透测试常用工具总结——DAST、SAST、IAST
m0_61506558的博客
01-03 1454
IAST是什么?交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。IAST全称为 “交互式应用程序安全测试” ,通过利用Agent来监控应用程序运行时的函数执行情况,采集相关数据,与服务端进行实时交互,从而高效、准确地识别出应用程序中的漏洞。同时可准确定位到漏洞所在的文件、行数、方法及参数,方便开发团队及时修复漏洞。
《可信研发运营安全能力模型》:交互式IAST工具在软件全生命周期中的关键作用
在这份标准中,特别强调了自动化安全工具在实现可信研发运营安全理念中的核心作用,包括静态应用程序安全测试工具(SAST)、交互式应用程序安全测试工具IAST)、开源软件审计平台(SCA)、动态应用程序安全测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值