Interactive Application Security Testing (IAST) dans AppScan Enterprise

La technologie Interactive Application Security Testing (IAST) utilise un agent déployé sur le serveur Web de l'application testée pour surveiller le trafic envoyé lors de l'exécution et signale les vulnérabilités découvertes. Contrairement aux examens DAST, une session de surveillance IAST ne génère pas son propre trafic, mais surveille les tests de votre système, l'exploration manuelle ou le trafic envoyé lors d'un examen DAST ou SAST. Vous bénéficiez donc d'une identification continue des problèmes d'exécution sans avoir besoin d'envoyer des demandes de tests dédiées à l'application en cas de problèmes de surveillance.

Alors qu'un examen DAST voit l'application comme une "boîte noire", l'agent IAST voit à "l'intérieur" de la boîte, ce qui lui permet de découvrir plus de détails sur les vulnérabilités, tels que : l'emplacement de la vulnérabilité dans le code, l'URL, ainsi que l'entité vulnérable spécifique (telle que le paramètre, l'en-tête ou le cookie), alors que l'examen SAST fournit uniquement l'emplacement, et que l'examen DAST fournit uniquement l'URL et l'entité.

Lorsque vous installez l'agent IAST sur votre serveur Web et lancez une session de surveillance IAST, l'agent surveille le trafic (demandes, pile d'appels, variables, etc.) envoyé à l'application, et signale à AppScan Enterprise les vulnérabilités découvertes. Contrairement aux examens SAST et DAST, une session IAST peut être exécutée indéfiniment.

Vous pouvez définir l'agent IAST qui communique avec AppScan Enterprise via l'interface utilisateur ou via l'API REST. Pour plus d'informations sur l'API REST IAST, reportez-vous à la documentation sur l'API REST.

Mode d'utilisation d'IAST dans AppScan Enterprise

Tableau 1. flux de travaux IAST
Procédure Détails
Configuration du service de communication IAST dans AppScan Enterprise Server Ce processus vous explique comment configurer le service de communication IAST dans AppScan Enterprise.
Télécharger et déployer un agent IAST sur un serveur Web Ce processus vous indique comment déployer l'agent IAST sur le serveur Web sur lequel est installée l'application testée.
Gestion d'agents IAST dans AppScan Enterprise Ce processus vous explique comment créer et gérer plusieurs agents sur une seule application.

Configurations d'agent IAST requises

Serveurs :
  • Tomcat, version 7 ou ultérieure
  • WebSphere, version 8.5 ou ultérieure
  • Websphere Liberty, version 19 ou ultérieure
  • Open Liberty, version 19 ou ultérieure
  • JBoss/Wildfly, version 10 ou ultérieure
  • Weblogic, version 12 ou ultérieure
Environnement d'exécution :
  • Les serveurs d'applications Web exécutent JRE/JDK 1.8 ou version ultérieure
Infrastructures :
  • Struts
  • Spring Boot
Logiciels :
  • Java versions 8 et ultérieures
.NET
  • UC : Recommandation : 4, minimum : 2
  • Mémoire : Minimum 8 Go
  • Serveur fonctionnant avec IIS 7ou version ultérieure
  • .NET Framework 4.5, 4.72, 4.8
Node.JS
  • JavaScript ECMAScript 6
  • Structure de l'application : Express 4