【SAST,DAST,IAST】SAST,DAST,IAST区别及原理

已于 2024-03-26 14:48:27 修改
阅读量911 收藏 8
点赞数 6
分类专栏: 安全技术 文章标签: 安全 网络安全 安全架构 安全性测试 安全威胁分析
于 2024-03-26 11:37:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ejet_shen/article/details/137040656
版权
本文详细解释了SAST(静态)、DAST(动态)和IAST(交互式)的安全测试方法,以及RASP(运行时应用自我保护)的工作原理。对比了它们的优缺点和适用场景,强调了IAST的优势但指出RASP的发展仍需关注性能消耗。
摘要由CSDN通过智能技术生成

SAST,DAST,IAST、RASP区别及原理

SAST,DAST和IAST到底是什么?

SAST(Static Application Security Testing,静态应用程序安全测试)

SAST(Static Application Security Testing,静态应用程序安全测试)对应用程序源代码执行直接的白盒分析。

分析是在代码的静态视图上运行的,这意味着代码在审查时没有运行。

其他名称:源代码扫描,白盒测试。

SAST的优点:
广泛的编程语言支持;
检出率较高;
可以定位到代码行。

SAST的缺点:
准确性差:优秀SAST产品的误报率也在53%以上*;
无法看到执行流;
通常需要一些定制或调参;
不适用于生产阶段的系统;
通常运行很慢。

常见工具: Checkmarx、Veracode、Fortify

DAST(Dynamic Application Security Testing,动态应用程序安全测试)

与SAST相反,DAST(Dynamic Application Security Testing,动态应用程序安全测试)对应用程序进行黑盒分析。
它们不能访问代码或实现细节。
DAST只检查系统对潜在漏洞测试的请求和响应。换言之,DAST是外部的漏洞扫描程序。

DAST的优点:
独立于应用程序的技术和平台,无需代码细节;
执行相对较快;
误报率较低。

DAST的缺点:
检出率低:优秀的DAST产品检出率也只有18%*;
无法定位到代码行;
使用门槛高,报告通常需要安全专家解读。

常见工具: Burp Suite 、OWASP ZAP、 Netsparker

IAST(Interactive Application Security Testing,交互式应用程序安全测试)

IAST(Interactive Application Security Testing,交互式应用程序安全测试)结合了SAST和DAST的优点。IAST可以像SAST一样看到源代码,也可以像DAST一样看到应用程序运行时的执行流。

IAST的优点:
检出率较高;
误报率较低;
可以在研发测试和生产环境中使用;
实时产生结果;
可以持续检测,对DevOps支持度更高;
即插即用,无需配置或调参;
可以与CI平台集成,创建相互连接的工作流。

IAST的缺点:
需要特定的语言支持

常见工具: Contrast Security、Rapid7、Qualys

我们可以看到,与SAST和DAST类产品相比,IAST类产品拥有明显的优势。
但IAST作为近年来才诞生的热点,其发展还远没有SAST和DAST类产品成熟。
因此如果预算允许,以上这三类应用安全测试产品应该同时应用。

RASP(Runtime application self-protection)运行时应用自我保护

RSAP将自身注入到应用程序中,与应用程序融为一体(可以获取到应用运行时的上下文,根据运行时上下文或者敏感操作,对攻击进行精准的识别或拦截。),实时监测、阻断攻击,使程序自身拥有自保护的能力。
并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。

RASP不但能够对应用进行基础安全防护,由于一些攻击造成的应用程序调用栈调用栈具有相似性,还能够对0day进行一定的防护。
除此之外,利用RASP也能够对应用打虚拟补丁,修复官方未修复的漏洞。
或者对应用的运行状态进行监控,进行日志采集。
RASP运行在应用之中,只要检测点选取合理,获取到的payload已经是解码过的真实payload,可以减少由于WAF规则的不完善导致的漏报。

缺陷:性能消耗,RASP带来的性能消耗一般在5%~10%之间。

在这里插入图片描述图片参考:https://blog.csdn.net/weixin_41686586/article/details/114276295

shenyijie
关注
专栏目录
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 473
应用程序安全是个永恒的话题,而SAST、DASTIAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
一文搞懂:开发安全中的SAST、DASTIAST和RASP
qq_21408865的博客
06-05 1423
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
最新发布
网络研究观
06-30 2166
本综合指南将探讨 DAST 与渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST 和渗透测试之间的关系。
白盒、黑盒、SAST、DAST傻傻分不清?
hwxiaozhi的博客
07-07 330
白盒测试、黑盒测试、静态应用程序安全测试(SAST) 和 动态应用程序安全测试(DAST)是软件测试安全领域中常见的术语。很多小伙伴分不清这四者到底有啥区别和关联,本文将做个简单的解释与区分。
悬镜安全SAST,DASTIAST分不清?看这篇就够了!
Anprou的博客
10-16 2846
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DASTIAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
热门推荐
liqiuman180688的博客
04-19 2万+
袁新平@默安科技 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyo...
安全开发基础 -- DASTSAST,IAST简单介绍
qq_61039408的博客
03-06 1469
通过爬虫发现整个 Web 应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数;根据爬虫的分析结果,对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试(扫描规则库);通过对于 Response 的分析验证是否存在安全漏洞。
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3962
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DASTSAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
Benchmark:OWASP Benchmark 是一个测试套件,旨在验证软件漏洞检测工具的速度和准确性。 一个用 Java 编写的完全可运行的 Web 应用程序,它支持通过支持 Java 的静态 (SAST)、动态 (DAST) 和运行时 (IAST) 工具进行分析。 这个想法是,由于它是完全可运行的,并且所有漏洞实际上都是可利用的,因此它对任何类型的漏洞检测工具都是一个公平的测试。 有关此项目的更多详细信息,请参阅 OWASP Benchmark 项目主页
07-24
OWASP 基准 OWASP 基准项目是一个 Java 测试套件,旨在验证漏洞检测工具的速度和准确性。 它是一个完全可运行的开源 Web 应用程序,可以通过任何类型的应用程序安全测试 (AST) 工具进行分析,包括 SAST、DAST(如 )和 IAST 工具。 目的是故意包含在基准中并由基准评分的所有漏洞实际上都是可利用的,因此它对任何类型的应用程序漏洞检测工具都是一个公平的测试。 基准测试还包括用于众多开源和商业 AST 工具的记分卡生成器,并且支持的工具集一直在增长。 项目文档都在 OWASP 站点的项目页面上。 有关所有项目的详细信息,请参阅该站点。 当前的最新版本是 v1.2。 请注意,此处提供的所有版本: : 都是历史版本。 通过简单地克隆或拉取此存储库的头部(即 git pull),最新版本始终可用。
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等情况,尤其是使用了自定义的过滤函数 二, :rocket:火线〜洞态IAST极速体验 快速开始请查看 三,检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql,mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 头注入 XXE 不安全的readline 不安全的重新 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置安全 反射注入 第三方组件收集及防御检测 四,问答区
安装运行DASTSAST、IAST工具至少各一种,设计对比实验
06-13
好的,我可以为您提供一些关于DASTSAST、IAST工具的信息以及如何进行对比实验。 首先,DAST(动态应用程序安全测试)工具是一种测试Web应用程序安全性的工具,它通过模拟攻击来检测应用程序中的漏洞。常见的DAST...
详解安全测试工具:SAST、DASTIAST、SCA的异同
qzt961003的博客
08-25 5061
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试
安全测试工具分为 SAST、DASTIAST 您知道吗?
liwenxiang629的博客
11-20 736
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DASTIAST。本文就带大家快速的了解这三者的本质区别
浅谈IAST,DAST,SAST之区别
TT成长博客
03-02 3036
之前在一本书里看到过IAST,简单知道一些,未作深究,但是最近发现在安全咨询里,越来越多被提及,那么就强化学习一下吧。还有拟态安全,放在下次。安全的路上,真的是学无止境啊。 Web应用安全测试,主要分为3大类别。 DAST
IASTSAST的区别
jimmyleeee的专栏
10-16 1029
超过50%的安全漏洞是由错误的编码产生的,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现。想从源头上治理漏洞就需要制定代码检测机制,SAST是一种在开发阶段对源代码进行安全测试发现安全漏洞的测试方案。SAST需要从语义上理解程序的代码、依赖关系、配置文件。优势是代码具有高度可视性,能够检测更丰富的问题,包括漏洞及代码规范等问题。测试对象比IAST丰富,除Web应用程序之外还能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值