交互式应用安全测试(IAST)学习笔记

最新推荐文章于 2025-11-10 10:10:58 发布
原创 最新推荐文章于 2025-11-10 10:10:58 发布 · 1.9k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #网络 #大数据

IAST是一种结合SAST和DAST优点的新型应用安全测试方案,通过程序插桩技术在运行时检测安全漏洞。它具有低误报、高检出率、代码级详情和赋能研发等优点,但也存在语言依赖、测试覆盖度限制和性能影响等缺点。IAST是安全左移的理想实践,未来可能在逻辑漏洞检测上有更多突破。

啥叫IAST?

交互式应用程序安全测试(IAST)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent 程序,收集、监控 Web 应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。- 来源信通院 研发运营安全白皮书-2020年

为啥需要它?

新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST
传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)。
SAST对应用程序源代码进行白盒分析。分析是在代码的静态视图上运行的,这意味着代码在被检测时并没有运行,SAST的误报率无法得到有效控制,并且难以适用处于生产阶段的系统。
DAST对应用进行黑盒测试,无法访问代码细节。DAST产品不用关注底层的技术和平台,因此使用度更广泛,准确率也有不错的保障。但DAST的技术特性决定了其高漏报率的结果,且无法应用于应用的研发阶段。

而如今,作为入选Gartner十大信息安全技术的IAST(交互式安全测试),结合了SAST和DAST的优点,低误报率和高检出率同时得到了保证。灰盒测试的特性使IAST可以有效地应用于从开发到生产的全流程当中

最低0.47元/天 解锁文章
2025 IAST工具推荐|云原生下的IAST落地实践
软件供应链安全选型指南
02-14 1214
开发阶段提前在数字化应用的容器环境中埋下IAST插桩探针,辅助开发团队将安全左移,在开发过程中提前发现潜在漏洞风险,随后应用在发布时,会携带探针一同打包上线,而应用上线后,伴生在应用中的探针就可以顺势转为RASP探针,扮演好积极防御的角色,相当于只需一次安装动作,就能够使探针伴随应用全生命周期,解决从开发、测试到运营阶段的关键安全问题。第三个技术创新表现在性能层面。正是由于IAST对云原生各安全场景的适应性,使其相较于其他传统安全测试技术而言,在云原生应用安全保障方面具备高度适配的能力和得天独厚的优势。
渗透测试与攻防对抗——漏洞扫描&逻辑漏洞
qq_45953112的博客
08-09 3058
渗透测试
【渗透测试】DAST、SAST、IAST 他们之间有什么区别?
凪的博客
10-09 905
核心区别:它们测试的对象和时机完全不同。没有一个工具是万能的。现代DevSecOps提倡的是多层次、全流程的安全检测,让它们在软件开发生命周期(SDLC)的不同阶段各司其职。开发阶段 (DEV) -> SAST测试阶段 (QA) -> IAST + DAST生产环境 (OPS) -> RASP (运行时应用程序自我保护)总结一下:在面试中,如果你能清晰地阐述这三者的区别、优缺点以及它们如何在SDLC中协同工作,会极大地展现你的专业性和架构思维。
实用的业务逻辑漏洞
hackzkaq的博客
05-07 742
传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据方面的安全风险。 过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身,不与业务数据相关联,很难发现业务层面的漏洞,企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。 一.登录认证模块 1.暴力破解测试 概述 暴力破解测试是指针对应用系统用户
干货分享 | 一文了解交互式应用程序安全测试IAST)技术
weixin_55163056的博客
04-17 1273
通过代理和在服务端部署的agent程序,收集、监控Web应用程序运行时的请求数据、函数执行,并与扫描器端进行实时交互,高效、准确地识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。agent的职责分为两部分,应用启动时,负责对应用中的目标方法或者函数(执行漏洞的方法或函数)进行插桩,给目标方法加上一个代理层。而与DAST相比,DAST则很难定位到与漏洞相关的代码行,IAST可以提供详细信息,例如带有漏洞的代码位置,完整的数据流和堆栈信息,以帮助安全和开发团队进行安全漏洞修复。
什么是IAST交互式应用安全测试)?
WAJXY2021的博客
07-31 7807
这篇文章是Contrast Security 的CTO和共同创始人,Jeff Williams于2018年末写的一篇文章,对IAST描述的非常清楚,其中谈到的技术,我们今天还在做。对于IAST的深刻理解,非常值得我们学习。 一、介绍 交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看,插桩(Instrumented)式应用安全测试或许是一个更好的说法。IAST不是一个扫
信息安全核心:集成与应用安全测试工具链
工具链的核心组件包括静态代码分析工具(SAST)、动态应用安全测试工具(DAST)、交互式应用安全测试工具(IAST)、渗透测试工具等,它们在不同的阶段发挥作用。 1.3 安全测试工具链与DevOps的关系 安全测试工具链...
17、网络安全关键要素解析
1a2s3d4f5g的博客
10-05 26
本文深入解析了网络安全的多个关键要素,涵盖安全倡导者的角色与建设路径、风险管理的核心活动与原则、身份验证与风险的融合机制,并探讨了研究能力对安全从业者的重要性。同时,文章提供了进入网络安全行业的实用建议、职业发展路径以及未来行业趋势,如人工智能应用、物联网安全和零信任架构。通过系统化的分析与图表展示,帮助读者全面理解网络安全体系的构建与演进,助力个人成长与组织安全能力建设。
17、网络安全综合指南
最新发布
apple5的专栏
11-10 34
本文全面探讨了网络安全领域的关键主题,包括安全倡导者的角色与实施步骤、信息安全中的风险管理框架、身份验证与风险分析的区别与融合、新人进入网络安全领域的建议,以及研究在安全工作中的重要性。文章还强调了安全文化建设和未来安全趋势,如人工智能与物联网带来的挑战,并提出通过协同合作、持续学习和技术创新来应对复杂的安全环境,推动组织从被动防御向主动安全转型。
18、网络安全关键要素解析
hope8的博客
09-04 77
本文深入探讨了网络安全领域的关键要素,包括安全倡导者的作用与职责、风险管理的重要性与实施步骤、认证与多因素认证(MFA)的误区、进入网络安全行业的建议、研究在安全领域的重要性,以及安全从业者的职责。文章旨在帮助企业和个人更好地理解网络安全的核心内容,推动安全文化的建设,并有效管理安全风险。
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
刘济舟:《基于IAST交互式安全测试实践的初步探索》
Anprou的博客
04-25 783
3月13日,「金融业企业安全建设实践群·华南分会」在深圳举办了2021年第一场线下活动——IAST实践分享研讨会。 本文内容整理自现场刘济舟的发言,已脱敏,已获原作者授权发布。 以下为发言实录: 大家好,我是刘济舟,今天给大家分享基于 IAST 交互式安全测试实践的初步探索,包括以下四个方面: 一,SDL 体系的的建设考虑 从需求的角度,我们的需求一般是由业务部门进行整理和提出的,通常业务部门更侧重于业务功能的实现,也没有足够的能力去顾及安全,导致在需求分析阶段缺乏足...
闲谈安全测试IAST
hobby云说
07-08 2096
前言 在之前的文章谈到的安全测试所在的三个阶段,并大概分析了三个阶段对应技术的优劣势,但是IAST那块因为内容太多并没有铺开来说,今天将着重来谈谈这个在安全测试里举足轻重的一员。 一、简介 IAST,全称是“Interactive application security testing”,翻译过来叫交互式应用安全测试,是一个能自动识别判断应用和API漏洞的一种工具,或者说一种技术。 1、产品上线前闭环漏洞 传统的漏扫工具是在应用上线后,对http(s)请...
演讲回顾 | 中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准...
DevOps持续集成的博客
08-30 912
公众号后台查看【大会资讯】-【资料下载】,获取DSO 2021大会PPT引言近日,由中国信息通信研究院指导,DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全...
网络安全运营思路-安全左移
望江湖,且看云卷云舒
06-19 1155
安全左移的内容越来多的在客户和厂商之间成为了聊天沟通的主打菜。那安全左移能解决什么问题?都包括了什么呢?又如何开展呢?解决的问题:将原先在生产环境中的一部分漏洞提早的发现,在开发、测试阶段开展修复工作,目的是降低生产环境解决安全风险会花掉大量的时间、金钱等成本,也会造成更大的安全风险。安全左移的工作分为:静态源代码安全审计(SAST)、开源组件安全检查(SCA)、交互式应用系统检查(IAST)、动态安全扫描检查(DAST);下面主要以 SAST和SCA为例,理清开发安全中的工作路径。安全左移工作路径图SAS
IAST 工具初探
05-26 1639
IAST交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
安全左移是什么,如何为网络安全建设及运营带来更多可能性
HoewDec的博客
04-06 2186
的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。微隔离原生自适应容器多变的环境。
什么是安全左移如何实现安全左移
学而思(xiejava的blog)
05-23 3654
在传统的软件开发流程中,安全测试和评估通常在开发周期的后期进行,比如在测试阶段或部署前。然而,这种方法往往会导致在产品即将发布时才发现安全问题,从而增加了修复成本和风险。安全左移(Shift-Left Security)是一种软件开发实践,其核心思想是将安全措施提前到软件开发生命周期(SDLC)的更早阶段。安全左移的目标是在软件开发的早期阶段,甚至是在编码之前,就开始考虑和实施安全措施。这样,潜在的安全问题可以在它们变得更加根深蒂固和难以修复之前被发现和解决。
交互式安全测试全网最全材料汇总
m0_73803866的博客
09-21 295
一句话(总结): IAST将手动安全测试变成了自动化两句话(二层展开):对于管理者:更加关心投入与产出,最终预期,所以可以从整个角度展开对于技术迷:可以从实现原理角度展开最终两种结合,形成二层介绍IAST是利用语言自身的插桩技术,在语言内部跟踪数据执行流程,实时发现安全漏洞,具有高检出、低误报的优势,是安全适度左移最佳实践三句话(三层扩展):这个更加泛的角度,如插桩的产生背景,用途。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值