静态检测与动态检测的区别
静态检测是在程序不运行的情况下,对源代码进行快速扫描,根据定义的规则来识别安全漏洞、代码质量、敏感信息风险等,更加适合用来发现 SQL 注入、XSS、缓存区溢出、输入验证、硬编码等基础漏洞,且误报率和漏报率相对而言都会比较高。
动态检测是在程序运行的过程中,分析程序的行为和输出,检测运行时的错误和安全漏洞,可以发现一些只有在特定运行环境下或者特定的入参格式时才显现的问题,比如内存泄露、违规访问等,但是其执行效率会相对静态检测低很多,且其覆盖范围会与程序的运行情况相关,而漏洞的发现率也与其代码覆盖率有直接相关。
RASP 和 IAST 的原理了解吗?
RASP 就是通过嵌入的方式,将监测代码加入到应用程序中,来实现对应用程序行为的监控,在监测到恶意代码或者威胁时,及时的将其阻断并告警,以此来防止恶意代码执行。而 RASP 常见的将监测代码加入到应用程序中的方式有三种:一种是通过代码注入,将 RASP 自身的检测代码在编译时写入到应用程序代码中,这种方式需要确保应用本身的代码不会与 RASP 的监测代码发生冲突;第二种是通过插桩的方式,动态的修改应用程序编译后的二进制文件,实现在运行时动态添加监控代码,也是比较常用的一种方式;第三种是通过钩子函数,使用 API 钩子技术来监控应用程序调用的 API 函数,这种方式更加适用于已经在运行中的应用程序。
IAST 是 DAST 和 SAST 的组合,其原理与 RASP 类似,也是通过代理或者插桩技术来动态检测程序的运行状况,IAST 是在应用程序运行时,插入一个额外的 agent,这个 agent 通过协议与应用程序通信,从而来监视应用程序的数据流。IAST 的插桩技术分主动和被动两种,主动插桩就是监测到关键函数 hook 到流量后,使用 payload 进行扫描发现或者基于模拟流量进行分析;被动插桩是使用算法匹配和污点跟踪来检测漏洞,不会主动发送 payload,监控来自数据流的上游,根据是否经过处理来判断是否存在漏洞。
我们已经购买了云安全设备防护,像 WAF、DDOS,还有必要购买 IAST、RASP 吗?意义是什么?
说实话,听到这个问题的时候,我瞬间楞了一下,WAF 和 DDOS 属于防御设备,IAST、 RASP 属于监测设备,这而且貌似并不冲突,面试官怎么会问出这样的问题。但仔细一想,我的面试官,有可能是运维的领导,也有可能是研发的领导,对安全并不一定了解很深,于是我认真的解释了起来(自认为很认真,实际上反而有点小啰嗦)。
我认为这两类设备是不冲突的,WAF 和 DDOS 属于防御设备,简单来说它们通常是部署在服务器上,负责拦截一些针对运行中的线上应用的攻击。而 IAST、RASP 是运行中的监测设备,通常他们是应用在安全开发的过程中,用来实时监测安全问题的。至于有没有必要使用,我个人是觉得有必要的,因为安全开发的核心思想是将安全问题左移,也就是在软件开发生命周期中尽可能的提早发现安全问题并将其修复,众所周知漏洞的修复成本是随着时间的推移越来越大的,早期在开发阶段发现并修复安全问题可以节约大量的人力和时间成本,另外,单纯的依靠 WAF 设备来防御攻击也是不可靠的,WAF 是存在被绕过的可能,并且 WAF 域名接入也是需要成本的,安全开发来从代码根源上防范安全风险也是十分必要的,而 RASP 和 IAST 之类的工具,可以大幅度的降低在 SDL 过程中的人力成本和时间成本,但是我个人觉得,我们可以先使用开源的同类工具试用一段时间,如果效果明显,再调研比价购买。
01
02
03
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至优快云官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
