關於互動式監視 (IAST)

ASoC 可以監視一般應用程式執行時期行為,以便偵測漏洞。

AppScan on Cloud 互動式監視技術 (IAST) 使用在測試應用程式的 Web 伺服器上部署的代理程式,來監視在執行時間傳送的流量,並報告所發現的漏洞。不同於動態與靜態 ASoC 掃描,IAST 監視階段作業不會產生本身的流量,而會監視系統測試、手動探索,或在 DAST 掃描期間傳送的流量。您可以持續識別執行時間問題,不需要傳送專用測試要求。

DAST 掃描將應用程式視為「黑盒」,而 IAST 代理程式則看見黑盒「內部」,因此能夠提供關於漏洞的更多細節。IAST 代理程式可以提供漏洞在程式碼、URL 和特定有漏洞的實體(例如,參數、標頭或 Cookie)中的位置;而 SAST 掃描僅提供位置,而且 DAST 掃描僅提供 URL 和實體。

您在 Web 伺服器上安裝 IAST 代理程式並啟動 IAST 監視階段作業時,此代理程式將監視向應用程式傳送的流量(要求、呼叫堆疊、變數等等),並向 ASoC 報告發現的漏洞。與 ASoC 掃描不同,IAST 階段作業可以無限期執行。只有在配置為在代理程式中斷連接時停止,而且代理程式確實中斷連接時,IAST 階段作業才會自動停止。

您可以透過使用者介面或 REST API 設定與 ASoC 通訊的 IAST 代理程式。

一般工作流程

步驟 詳細資料
配置並啟動 IAST 掃描 IAST 代理程式已下載至您的機器。
在應用程式伺服器上部署 IAST 代理程式 雖然階段作業在技術上的開始時間是在此步驟之前,不過只有在部署代理程式後才可以探索問題。
在您的應用程式上執行系統測試、手動探索或 DAST 掃描。 代理程式開始向 ASoC 報告發現的問題,這些問題會出現在 IAST 掃描項目中。
定期檢閱發現的問題 在「全部問題」標籤中,按一下「詳細資料」連結以查看 IAST 問題的 URL 和呼叫追蹤。
在下一個開發階段:
  1. 重新啟動相同的階段作業。
  2. 執行相同的系統測試或 DAST 掃描。
  3. 停止階段作業。
  4. 比較新的結果與以前的結果。
 您再次開始階段作業時,「問題」計數器將重設,因此這只會顯示的問題,以便您追蹤開發進度。

IAST 系統需求

一般:
  • CPU:建議使用 4,最低需求為 2
  • RAM:至少 8GB
  • 如果部署應用程式的伺服器上有防火牆,請確定 ASoC 網域 (cloud.appscan.com) 發生異常狀況:
1.
Java
  • 伺服器:
    • Tomcat,第 7 版或更新版本
    • Websphere,8.5 版或更新版本
    • Websphere Liberty,第 19 版或更新版本
    • Open Liberty,第 19 版或更新版本
    • JBoss/Wildfly,第 10 版或更新版本
    • JBoss EAP(企業應用程式平台)6、7
    • Weblogic,第 12 版或更新版本
    • Jetty
    • Quarkus(JVM 模式)
  • 執行時期環境:執行 JRE/JDK 1.8.144 和更新版本的 Web 應用程式伺服器
  • 架構:Spring 5、Spring 6、Struts、Resteasy
  • 軟體:Java 第 8 版和更高版本
.NET
  • 執行 IIS 7 或更新版本的伺服器
  • .NET Framework 4.5, 4.62 4.72, 4.8
  • .NET 5、6、7、8
  • .NET Core 3.1
Node.js
  • 應用程式架構:Express 4
  • JavaScript ECMAScript 6
PHP

Windows:

  • 8.1.X

Linux (Ubuntu):

  • 8.1.X
  • 8.2.X

Linux (RedHat):

  • 8.1.X
註: 如需 IAST 對其他 PHP 版本或平台的支援,請聯絡 AppScan 支援團隊。