Examens interactifs (IAST)

ASoC peut exécuter une analyse interactive du comportement d'exécution de l'application normal, à la recherche de vulnérabilités.

La technologie d'examen interactif (IAST) utilise un agent déployé sur le serveur Web de l'application testée pour surveiller le trafic envoyé lors de l'exécution et signale les vulnérabilités découvertes. Contrairement aux autres examens ASoC, un examen IAST ne génère pas son propre trafic, mais surveille les tests de votre système, l'exploration manuelle ou le trafic envoyé lors d'un examen DAST. Vous bénéficiez donc d'une identification continue des problèmes d'exécution sans avoir besoin d'envoyer des demandes de tests dédiées.

Alors qu'un examen DAST voit l'application comme une "boîte noire", l'agent IAST voit à "l'intérieur" de la boîte, ce qui lui permet de découvrir plus de détails sur les vulnérabilités, tels que : l'emplacement de la vulnérabilité dans le code, l'URL, ainsi que l'entité vulnérable spécifique (telle que le paramètre, l'en-tête ou le cookie), alors que l'examen SAST fournit uniquement l'emplacement, et que l'examen DAST fournit uniquement l'URL et l'entité.

Lorsque vous installez l'agent IAST sur votre serveur Web et lancez un examen IAST, l'agent surveille le trafic (demandes, pile d'appels, variables, etc.) envoyé à l'application, et signale à ASoC les vulnérabilités découvertes. Contrairement aux autres examens ASoC, un examen IAST peut être exécuté indéfiniment. Un examen IAST s'arrête automatiquement uniquement s'il est configuré pour s'arrêter lorsque l'agent est déconnecté, et quand l'agent est effectivement déconnecté.



Vous pouvez définir l'agent IAST qui communique avec ASoC via l'interface utilisateur ou via l'API REST.

Flux de travaux standard
Tableau 1. Flux de travaux standard
Quoi Détails
Configurer et lancer un examen IAST A la fin de ce processus, l'agent IAST est téléchargé sur votre machine.
Déployer l'agent IAST sur le serveur d'applications Même si l'examen a techniquement été lancé avant cette étape, il n'est possible de découvrir des problèmes qu'une fois l'agent déployé.
Exécuter des tests du système, une exploration manuelle ou un examen DAST sur votre application L'agent commence à signaler les problèmes qu'il découvre à ASoC, qui apparaissent ensuite dans l'entrée d'examen IAST.
Arrêtez l'examen et passez en revue les problèmes découverts. Dans l'onglet Tous les problèmes, cliquez sur le lien Détails pour voir l'URL et la trace d'appel pour les problèmes IAST.
Lors de l'étape de développement suivante :
  1. Relancer le même examen
  2. Exécuter les mêmes tests du système ou le même examen DAST
  3. Arrêter l'examen, et
  4. Comparer les nouveaux résultats avec les précédents
Lorsque vous relancez un examen, le compteur de problèmes est réinitialisé. Ainsi, seuls les nouveaux problèmes s'affichent, ce qui vous permet de suivre les progrès de Dev.
Configurations IAST requises
  • Serveurs : Tomcat, Websphere, Websphere Liberty, Open Liberty, JBoss/Wildfly et Weblogic
  • Environnement d'exécution : Les serveurs d'applications Web exécutent JRE/JDK 1.8 ou version ultérieure
  • Infrastructures : Struts, Spring Boot
  • Logiciels : Java versions 8 et ultérieures
    Avertissement : Si à la fois la phase de compilation et les versions Java d'exécution sont des versions 9 ou supérieures, vous devez ajouter cet indicateur à la commande d'exécution Java :
    –Djava.lang.invoke.stringConcat=BS_SB