IAST初学

IAST介绍

        IAST是交互式应用安全测试，是一个在应用和API中自动化识别和诊断软件漏洞的技术。它是插桩式应用安全测试。IAST不是一个扫描器，IAST会持续的从内部监控应用中的漏洞。

        IAST的特点是它使用插桩来手机安全信息，直接从运行的代码中发现问题，它不是直接对源代码进行扫描，也不是http扫描。用户可以在IDE中，编写和测试代码的时候就开始使用IAST。

        IAST的使用场景：在开发时阻止漏洞；在生产阶段检测攻击和阻止漏洞。

        IAST可以直接访问代码，在每行代码执行SAST（源代码扫描），并且可以访问HTTP流量，在用户每一次请求和响应的时候进行类似DAST（HTTP扫描）分析。可以理解为IAST

是源代码扫描和http扫描功能的合集。

        IAST的优点：误报率低，漏报率低。

        IAST功能：

· 自有代码安全测试：IAST能够自动化地分析应用和API 中的自有代码，找出以前没有发现的（零 day）漏洞，能够识别很宽范围的漏洞，包括并不限于OWASP Top 10，还有其他更复杂的漏洞。

· 开源软件安全测试：IAST也能用来测试开源库和框架的安全性，一般有两个维度。首先，IAST能识别困扰开源软件的已知漏洞（如CVE发布），其次，IAST能识别开源软件中以前未知的（潜在）漏洞。

IAST工作原理

IAST探头工作原理

1.安全探头对插桩的应用、API调试排错。

2.探头从运行的应用中直接检查安全相关事件，传递给分析引擎。

3.分析引擎重组装事件，识别代码执行中的漏洞特征。

IAST分析内容包括：代码分析、http流量分析、库和框架的分析、应用程序状态分析、数据流分析（污点追踪）、控制流、后端连接、配置分析。

IAST部署

这里使用的默安IAST

1.登录后点击插桩Agent——下载Agent

 2.根据自己的需要下载agent

 3.点击下载

4.然后点击下方的帮助中心选择对应的环境

5.点击查看教程，按照说明操作（tomcat为例）

 6.上传下载好的agent文件（这里机器不能出网所以用的rz命令，也可以在第3步的时候直接复制下载链接，用服务器访问）

7.找到配置文件catalina.sh

8.找到这里更改一下

 

 javaagent：+路径

 改完后，重启服务就可以。