關於互動式監視 (IAST)
ASoC 可以監視一般應用程式執行時期行為,以便偵測漏洞。
AppScan on Cloud 互動式監視技術 (IAST) 使用在測試應用程式的 Web 伺服器上部署的代理程式,來監視在執行時間傳送的流量,並報告所發現的漏洞。不同於動態與靜態 ASoC 掃描,IAST 監視階段作業不會產生本身的流量,而會監視系統測試、手動探索,或在 DAST 掃描期間傳送的流量。您可以持續識別執行時間問題,不需要傳送專用測試要求。
DAST 掃描將應用程式視為「黑盒」,而 IAST 代理程式則看見黑盒「內部」,因此能夠提供關於漏洞的更多細節。IAST 代理程式可以提供漏洞在程式碼、URL 和特定有漏洞的實體(例如,參數、標頭或 Cookie)中的位置;而 SAST 掃描僅提供位置,而且 DAST 掃描僅提供 URL 和實體。
您在 Web 伺服器上安裝 IAST 代理程式並啟動 IAST 監視階段作業時,此代理程式將監視向應用程式傳送的流量(要求、呼叫堆疊、變數等等),並向 ASoC 報告發現的漏洞。與 ASoC 掃描不同,IAST 階段作業可以無限期執行。只有在配置為在代理程式中斷連接時停止,而且代理程式確實中斷連接時,IAST 階段作業才會自動停止。
您可以透過使用者介面或 REST API 設定與 ASoC 通訊的 IAST 代理程式。
一般工作流程
步驟 | 詳細資料 |
---|---|
配置並啟動 IAST 掃描 | IAST 代理程式已下載至您的機器。 |
在應用程式伺服器上部署 IAST 代理程式 | 雖然階段作業在技術上的開始時間是在此步驟之前,不過只有在部署代理程式後才可以探索問題。 |
在您的應用程式上執行系統測試、手動探索或 DAST 掃描。 | 代理程式開始向 ASoC 報告發現的問題,這些問題會出現在 IAST 掃描項目中。 |
定期檢閱發現的問題。 | 在「全部問題」標籤中,按一下「詳細資料」連結以查看 IAST 問題的 URL 和呼叫追蹤。 |
在下一個開發階段:
|
您再次開始階段作業時,「問題」計數器將重設,因此這只會顯示新的問題,以便您追蹤開發進度。 |
IAST 系統需求
一般:
- CPU:建議使用 4,最低需求為 2
- RAM:至少 8GB
- 如果部署應用程式的伺服器上有防火牆,請確定 ASoC 網域 (cloud.appscan.com) 發生異常狀況:
Java |
|
.NET |
|
Node.js |
|
PHP |
Windows:
Linux (Ubuntu):
Linux (RedHat):
註: 如需 IAST 對其他 PHP 版本或平台的支援,請聯絡 AppScan 支援團隊。
|