A propos de la surveillance interactive (IAST)

ASoC peut vérifier que le comportement d'exécution de l'application est normal afin de détecter les vulnérabilités.

La technologie de surveillance interactive AppScan sur Cloud (IAST) utilise un agent déployé sur le serveur Web de l'application testée pour surveiller le trafic envoyé lors de l'exécution et signale les vulnérabilités détectées. Contrairement aux examens ASoC dynamiques et statiques, une session de surveillance IAST ne génère pas son propre trafic, mais surveille les tests de votre système, l'exploration manuelle ou le trafic envoyé lors d'un examen DAST. Vous pouvez bénéficier d'une identification continue des problèmes d'exécution sans devoir envoyer des demandes de tests dédiées.

Alors qu'un examen DAST voit l'application comme une « boîte noire », l'agent IAST voit à « l'intérieur » de la boîte, ce qui lui permet de détecter plus de détails sur les vulnérabilités. L'agent IAST peut fournir l'emplacement de la vulnérabilité dans le code, l'URL, ainsi que l'entité vulnérable spécifique (telle que le paramètre, l'en-tête ou le cookie). Un examen SAST fournit l'emplacement uniquement et un examen DAST l'URL et l'entité uniquement.

Lorsque vous installez l'agent IAST sur votre serveur Web et lancez une session de surveillance IAST, l'agent surveille le trafic (requêtes, pile d'appels, variables, etc.) envoyé à l'application, et signale à ASoC les vulnérabilités détectées. Contrairement aux examens ASoC, une session IAST peut être exécutée indéfiniment. Une session IAST s'arrête automatiquement uniquement s'il est configuré pour s'arrêter lorsque l'agent est déconnecté, et quand l'agent est effectivement déconnecté.

Vous pouvez définir l'agent IAST qui communique avec ASoC via l'interface utilisateur ou l'API REST.

Flux de travaux standard

étape Détails
Configurer et lancer un examen IAST L'agent IAST est téléchargé sur votre machine.
Déployer l'agent IAST sur le serveur d'applications Même si la session a techniquement été lancée avant cette étape, il n'est possible de détecter des problèmes qu'une fois l'agent déployé.
Exécuter des tests du système, une exploration manuelle ou un examen DAST sur votre application L'agent commence à signaler les problèmes qu'il détecte à ASoC et ceux-ci apparaissent ensuite dans l'entrée d'examen IAST.
Examinez régulièrement les problèmes détectés. Dans l'onglet Tous les problèmes, cliquez sur le lien Détails pour voir l'URL et la trace d'appel pour les problèmes IAST.
Lors de l'étape de développement suivante :
  1. Redémarrez la même session.
  2. Exécutez les mêmes tests du système ou le même examen DAST.
  3. Arrêtez la session.
  4. Comparez les nouveaux résultats avec les précédents.
Lorsque vous relancez la session, le compteur Problèmes est réinitialisé. Ainsi, seuls les nouveaux problèmes s'affichent, ce qui vous permet de suivre la progression du développement.

Configuration système requise pour IAST

Général :
  • UC : Recommandation : 4, minimum : 2
  • Mémoire : Au moins 8 Go
  • S'il existe un pare-feu sur le serveur sur lequel votre application est déployée, assurez-vous qu'il existe une exception pour le domaine ASoC (cloud.appscan.com).
Tableau 1.
Java
  • Serveurs :
    • Tomcat, version 7 ou ultérieure
    • WebSphere, version 8.5 ou ultérieure
    • Websphere Liberty, version 19 ou ultérieure
    • Open Liberty, version 19 ou ultérieure
    • JBoss/Wildfly, version 10 ou ultérieure
    • JBoss EAP (Enterprise Application Platform) 6, 7
    • Weblogic, version 12 ou ultérieure
    • Jetty
    • Quarkus (mode JVM)
  • Environnement d'exécution : Les serveurs d'applications Web exécutent JRE/JDK 1.8.144 et version ultérieure
  • Infrastructures : Spring 5, Spring 6, Struts, Resteasy
  • Logiciels : Java versions 8 et ultérieures
.NET Framework
  • Serveur fonctionnant avec IIS 7ou version ultérieure
  • .NET Framework 4.5, 4.62 4.72, 4.8
  • .NET 5, 6, 7
  • .NET Core 3.1
Node.js
  • Structure de l'application : Express 4
  • JavaScript ECMAScript 6
PHP

Windows :

  • 8.1.X

Linux (Ubuntu) :

  • 8.1.X
  • 8.2.X

Linux (RedHat) :

  • 8.1.X
Remarque : Pour la prise en charge d'IAST sur d'autres versions ou plateformes PHP, veuillez contacter l'équipe de support AppScan.