インタラクティブ (IAST) スキャン

ASoC 通常のアプリケーション・ランタイムの脆弱性に関する対話型分析を実施できます。

インタラクティブ (IAST) スキャン技術は、テスト対象のアプリケーションの Web サーバーに配置されたエージェントを使用して、ランタイム中に送信されるトラフィックをモニターし、検出された脆弱性をレポートします。他の ASoC スキャンとは異なり、IAST スキャン自体はトラフィックを生成しませんが、システム・テスト、マニュアル探査、または DAST スキャン中に送信されるトラフィックをモニターします。したがって、専用のテスト要求を送信することなく、実行時の問題を継続的に確認できます。

DAST スキャンはアプリケーションを「ブラック・ボックス」として見るのに対し、IAST エージェントはボックスの「中」を確認することで、次のような脆弱性に関して、より詳細を提供できます: コード、URL、特定の脆弱性エンティティー (パラメーター、ヘッダー、Cookie など) における脆弱性の場所 (SAST は場所のみ、DAST は URL とエンティティーのみを提供)

Web サーバーに IAST エージェントをインストールし、IAST スキャンを開始すると、エージェントはアプリケーションに送信されるトラフィック (要求、コール・スタック、変数など) をモニターし、検出された脆弱性について ASoC にレポートします。他の ASoC スキャンとは異なり、IAST スキャンは無限に実行できます。エージェントが切断されたときに停止するよう構成されている場合にのみ IAST スキャンは自動で停止し、エージェントが切断されます。



UI または REST API のいずれかにより ASoC と通信している IAST エージェントを設定できます。

通常ワークフロー
表 1. 通常ワークフロー
内容 詳細
IAST スキャンを構成し、開始する このプロセスの終わりに、IAST エージェントがマシンにダウンロードされます。
アプリケーション・サーバーに IAST エージェントを配置する 理論上は、このステップの前にスキャンが開始されていますが、エージェントを配置した場合にのみ問題を検出できます。
アプリケーションでシステム・テスト、マニュアル探査、または DAST スキャンを実行します。 エージェントが検出された問題の ASoC へのレポートを開始し、それらが IAST スキャン・エントリーに表示されます。
スキャンを停止し、検出された問題をレビューします 「すべての問題」タブで「詳細」リンクをクリックし、IAST 問題の URL とコール・トレースを確認します。
次の開発ステージで次を行います:
  1. 同じスキャンを再び開始します
  2. 同じシステム・テストまたは DAST スキャンを実行します
  3. スキャンを停止し、
  4. 新しい結果と前の結果を比較します
スキャンを再び開始し、問題カウンターがリセットされると、新規の問題のみが表示され、開発の進行状況を追跡できます。
IAST システム要件
  • サーバー: Tomcat、Websphere、Websphere Liberty、Open Liberty、JBoss/Wildfly、および Weblogic
  • ランタイム環境: JRE/JDK 1.8 以上を実行する Web アプリケーション・サーバー
  • フレームワーク: Struts、Spring Boot
  • ソフトウェア: Java versions 8 以上
    重要: コンパイル時およびランタイム Java バージョンがどちらも 9 以上である場合 Java 実行コマンドにこのフラグを追加する必要があります:
    –Djava.lang.invoke.stringConcat=BS_SB