IAST安全扫描原理

最新推荐文章于 2024-06-05 11:50:46 发布
最新推荐文章于 2024-06-05 11:50:46 发布
阅读量5.7k 收藏 5
点赞数
分类专栏: 网络安全 文章标签: 安全 java jar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superprintf/article/details/122316511
版权
交互式应用程序安全测试(IAST)是一种创新的安全测试技术,它结合了黑盒测试和白盒测试的优势,形成灰盒测试。IAST的交互性体现在agent与扫描器的协作中,主动型IAST通过动态代理在运行时植入代码,监测风险函数并进行漏洞扫描。被动型IAST则侧重于监控数据传播链,寻找潜在的安全风险。这种技术在提升安全性评估效率和准确性方面具有显著效果。
摘要由CSDN通过智能技术生成

IAST:交互式应用程序安全测试(Interactive Application Security Testing),是黑盒测试(SAST),白盒测试(DAST)结合优点而成的灰盒测试

其交互性体现在agent和扫描器之间的交互,分为三类,1.主动型,2.被动型(流量型暂不考虑在内,因为未实现agent)

主动IAST

请添加图片描述
agent使用java动态代理,在程序运行时修改字节码插入代码(即插庄)。
1.agent部署:agent会是一个jar文件,程序运行的时候设置代理为agent,比如运行java程序的时候java -javaagent:agent.jar -jar service.jar启动服务,这时agent会连接在远端扫描器,同时在程序运行时植入代码。
2.用户访问被测应用时,agent判断是否触发了风险函数。比如检测到了executeQuery()函数

Statement statement = con.createStatement();
String sql = "select * from users where name = '" + name + "'";  //通过拼接的方式构建sql查询语句,存在sql注入的风险
ResultSet rs = statement.executeQuery(sql);

那么agent会把用户访问的url连同参数一起发送给远端扫描器。
3.扫描器url去重
4.重放扫描:模拟用户向被测服务扫描,agent在风险函数处监听。如果agent检测到扫描器发送的特殊数据,证明存在漏洞,agent上报信息。如果agent没有检测到扫描器发送的数据,则不存在漏洞。

被动IAST

请添加图片描述
agent使用java动态代理,在程序运行时修改字节码插入代码。
1.agent部署,同上
2.用户访问被测应用,agent监听运行上下文,用户输入,风险函数。监控从用户输入到风险函数中间的被污染的数据,传播链。
比如:

String name = request.getParameter("name");
String sql = "select * from t_u where name = '" + name + "'";
statement.executeQuery(sql);

nameexecuteQuery()传播链没有监控到安全过滤,则认为存在漏洞。

小健健健
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浅谈被动式IAST产品与技术实现
Moyun_vackbot的博客
01-07 9422
笔者曾参与RASP研究与研发得到一些相关经验,近两年观察到IAST发展势头明显,但目前国内外对于IAST具体实现的细节相关文章较少,且笔者看到的开源IAST仅有洞态,故想通过笔者视角,对IAST原理及技术实现进行探究及分享。 本文仅代表笔者个人观点,欢迎大家进行技术交流及学习。 什么是IAST IAST是AST其中的一个类别,AST是Application Security Testing的简称,译为应用安全测试,在其之下衍生出来以下几种类型: SAST(Static Applicatio.
干货 | IAST安全测试如何防止数据污染
携程技术
10-15 1488
作者简介Eric,携程资深开发工程师,关注应用安全、渗透测试方面的技术和相关开源产品的二次开发。一、前言携程信息安全部门目前在研究百度OpenRASP技术,让它在携程落地进行服务漏洞扫...
IAST初学
weixin_52206305的博客
07-25 193
IAST是是一个在应用和API中自动化识别和诊断软件漏洞的技术。它是插桩式应用安全测试。IAST的特点是它使用插桩来手机安全信息,直接从运行的代码中发现问题,它不是直接对源代码进行扫描,也不是http扫描。用户可以在IDE中,编写和测试代码的时候就开始使用IASTIAST的使用场景:在开发时阻止漏洞;在生产阶段检测攻击和阻止漏洞。IAST可以直接访问代码,在每行代码执行SAST(源代码扫描),并且可以访问HTTP流量,在用户每一次请求和响应的时候进行类似DAST(HTTP扫描)分析。
一文搞懂:开发安全中的SAST、DAST、IAST和RASP
最新发布
qq_21408865的博客
06-05 1246
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
IAST 被动扫描 WebGoat
qq_16224495的博客
05-06 642
IAST 被动扫描 WebGoat 一、部署IAST 参考官网https://doc.dongtai.io/docs/getting-started/server/deploy-docker-compose centos7中使用docker-compost快速部署 1、克隆存储库 git clone https://github.com/HXSecurity/DongTai.git 2、更新代码 git pull 3、切换至目录 cd DongTai/deploy/docker-compose/ 4、部署最
为什么都在选择IAST作为安全漏洞检测工具
xlsj雪松的博客
03-18 488
为什么都在选择IAST作为安全漏洞检测工具?
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1452
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
IAST工具是如何工作的?主动和被动IAST有什么区别?
weixin_55163056的博客
05-06 770
要确保应用程序的质量和效果,需要使用各种不同的测试方法,包括手动和自动化的测试,以及在生产环境中对应用程序进行测试。我们进一步探索,可以将主动IAST与被动IAST相结合,以被动IAST为主,主动IAST用于辅助验证功能,进行测试,适用范围广,可定位到漏洞代码也无脏数据产生。被动IAST的探针以静默方式持续监视指向应用程序的所有常规流量,在运行时查找漏洞。交互式应用程序安全测试(IAST)使用结合了动态应用程序安全测试(DAST)和静态应用程序安全测试(SAST)技术的工具来提高应用程序安全测试的准确性。
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 ...IAST-插桩被动型I(动态污点分析)IAST实现原理
web漏洞扫描原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描
weixin_39941721的博客
11-20 686
0x00 前言之前我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧。0x01 编码/解码/协议在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有什么工具可以检测。既然我们要讲解的是Web 漏洞扫描器,那么就先假设是 AMF over HTTP (这里并不需要你了解 AMF,你只需要知道 AMF 是一种数据格式类型就行)。假设我们需要测试一...
详解安全测试工具:SAST、DAST、IAST、SCA的异同
qzt961003的博客
08-25 4987
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试。
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
基于Agent的网络漏洞扫描系统的设计与实现
04-20
基于Agent的网络漏洞扫描系统的设计与实现
IAST 工具初探
05-26 1298
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
洞态IAST自动检测S2-048
weixin_40418457的博客
06-04 292
一、复现环境搭建 访问火线-靶场并搜索S2-048,然后启动registry.cn-beijing.aliyuncs.com/huoxian/s_struts2_s2-059:latest 环境启动后,默认页面。 二、漏洞复现 POST /showcase/integration/saveGangster.action HTTP/1.1 Host: localhost:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0)
干货分享 | 一文了解交互式应用程序安全测试(IAST)技术
weixin_55163056的博客
04-17 843
通过代理和在服务端部署的agent程序,收集、监控Web应用程序运行时的请求数据、函数执行,并与扫描器端进行实时交互,高效、准确地识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。agent的职责分为两部分,应用启动时,负责对应用中的目标方法或者函数(执行漏洞的方法或函数)进行插桩,给目标方法加上一个代理层。而与DAST相比,DAST则很难定位到与漏洞相关的代码行,IAST可以提供详细信息,例如带有漏洞的代码位置,完整的数据流和堆栈信息,以帮助安全和开发团队进行安全漏洞修复。
什么是IAST(交互式应用安全测试)?
WAJXY2021的博客
07-31 6545
这篇文章是Contrast Security 的CTO和共同创始人,Jeff Williams于2018年末写的一篇文章,对IAST描述的非常清楚,其中谈到的技术,我们今天还在做。对于IAST的深刻理解,非常值得我们学习。 一、介绍 交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看,插桩(Instrumented)式应用安全测试或许是一个更好的说法。IAST不是一个扫
简析IAST—Agent篇 | 信息安全
360技术
06-21 3061
一、IAST简单介绍IAST(Interactive Application Security Testing)交互式应用程序安全测试,通过服务端部署Agent探针,流量代理/VPN或主机系统软件等方式,监控Web应用程序运行时函数执行并与扫描器实时交互,高效、精准的安全漏洞,是一种运行时灰盒安全测试技术。在分析并评估了业界主流的几家IAST产品后,发现IAST一般可以提供agent插桩检测、流量...
金融行业:交互式IAST解决应用安全挑战
交互式应用安全自动化测试平台的工作原理是通过用户友好的管理平台,让用户只需进行功能操作,就能自动化获得精确的安全结果,无需依赖专业安全人员和额外的时间投入。这样不仅提高了测试效率,还解决了产品快速迭代...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值