为什么都在选择IAST作为安全漏洞检测工具

前言：  

1 最近SAP 爆出的软件供应链安全风险事件

​

其中的五个高危漏洞如下，均是编码安全漏洞：

lCVE-2023-25616代码注入漏洞

lCVE-2023-23857 隐私数据泄露漏洞

lCVE-2023-27269目录遍历漏洞，该漏洞允许非管理员用户覆盖系统文件

lCVE-2023-27500 APRSBRO 中的目录遍历漏洞，，允许具有非管理权限的攻击者利用该漏洞重写系统文件

lCVE-2023-25617命令执行漏洞

SAP 是世界上最大的 ERP 供应商，在 180 个国家拥有 42.5 万客户，占全球市场份额的 24%。超过 90% 的《福布斯全球 2000 强》使用其 ERP、SCM、PLM 和 CRM 产品。因此，其产品中存在的代码安全漏洞是攻击者的绝佳目标，可以作为侵入企业系统的入口。

​

---

2 漏洞为何在产品发布之前没有被发现？ 

分析五个高危漏洞发现，这些漏洞都是典型的Web通用代码漏洞，由于编码过程中输入控制不严格，造成了此类漏洞产生。

但像SAP这种大企业，软件编译之后，发布之前定然会做一些基本的内部安全测试（渗透测试、代码审计等），却任然没有发现此类漏洞，这一点也说明传统的安全测试对当下复杂编码方式的漏洞发现支撑不足，迫切需要“新”的更强大的检测方式。

​

      此类漏洞对真正的软件使用者影响最大！

    真正使用这些软件的是采购者，那么风险也主要是采购者在承担。对于软件采购者而言，做好系统上线之前的安全检测显得尤为重要。

    往往采购者拿到的只是成品，拿不到源代码，这种情况传统的代码审计是用不上的，渗透测试发现的威胁毕竟有限，要发现这种模式下的代码漏洞就要选择“新”的检测方式—IAST。

​

3 IAST交互式应用安全测试技术   

技术原理：IAST检测技术是在运行应用所需要的中间件（tomcat、weblogic、东方通）所在的服务器上或运行环境里安装一个Agent，在中间件运行代码的过程中，agent分析代码数据流和控制流信息，根据漏洞规则发现漏洞风险，也称为插桩漏洞检测。

注意：IAST发现漏洞不需要应用源代码，也不是重放发包测试。只需要在测试环境安装agnet再把应用跑起来就可以开始检测了。

为什么都在选择IAST作为安全漏洞检测工具？ 

这里IAST检测的一个SQL注入漏洞，IAST检测出的数据流转控制流如下：

​

此SQL注入漏洞的污点输入是getParameter(java.lang.String)，中间的传递过程append(java.lang.String)，最终的敏感执行函数executeQuery(java.lang.String)，最终执行的SQL语句是“select * from ay_user where id =1”。

IAST会将系统外部传入的参数作为可控变量，添加污点标记开始跟踪，跟踪此标记的变量在内部的传递过程，最后在敏感触发函数判断污点标记是否被过滤掉，来判断此数据流是否存在可控性风险。

​

使用payload “-1 or 1=1”进行测试，从IAST中可以直观的发现变量在传递过程没有被过滤，直接抵达敏感函数并执行“select * from ay_user where id =-1 or 1=1 ”SQL语句，所以存在SQL注入漏洞。

​

前段验证也是如此，

​

可以看到，IAST通过数据流转控制流的分析，可以直接发现代码中存在的所有编码漏洞，这种检测方式即使遇到复杂的编码过程也能较好的发现其中的安全问题。

包括隐私信息数据泄漏的检测，可以检测敏感信息未脱敏直接写到前端页面，写到数据库，写到日志，写到文件等多种情况。

​

因此选择IAST做上线前安全检测是最好选择。  

基于IAST的检测能力，可以在交付软件时，找个测试环境带着IAST的agent和应用程序一起启动，在做功能验收的同时，agent自动旁路收集（不干扰功能验收）数据流、控制流给服务器端，服务端同时马上分析检测交付软件中的编码漏洞、未授权漏洞，逻辑漏洞，敏感信息泄漏等漏洞。