AppScan Enterprise 中的交互式应用程序安全测试 (IAST)
交互式应用程序安全测试 (IAST) 技术使用部署在被测应用程序的 Web 服务器上的代理程序来监视运行时期间发送的流量,并报告其发现的漏洞。与 DAST 扫描不同,IAST 监视会话不会生成自己的流量,而是监视系统测试、监视手动探索或监视在 DAST 或 SAST 扫描期间发送的流量。因此,您可以持续识别运行时问题,而无需向应用程序发送专用测试请求以监视问题。
DAST 扫描将应用程序视为“黑匣子”,IAST 代理程序则可以看到匣子“内部”,从而能够提供有关漏洞的更多详情,例如:漏洞在代码中的位置、URL 和特定易受攻击实体(例如参数、标头或 Cookie);SAST 扫描仅提供位置,DAST 扫描仅提供 URL 和实体。
当您在 Web 服务器上安装 IAST 代理并开始 IAST 监视会话时,代理会监视发送到应用程序的流量(请求、调用堆栈、变量等),并向 AppScan Enterprise 报告其发现的漏洞。与 SAST 和 DAST 扫描不同,IAST 会话可以无限地运行。
您可以设置 IAST 代理,该代理通过 UI 或 REST API 与 AppScan Enterprise 通信。有关 IAST REST API 的更多信息,请参阅 REST API 文档。
如何在 AppScan Enterprise 中使用 IAST
| 如何... | 详细信息 |
|---|---|
| 在 AppScan Enterprise Server 中配置 IAST 通信服务 | 此过程将指导您在 AppScan Enterprise 中配置 IAST 通信服务。 |
| 下载并在 Web 服务器上部署 IAST 代理 | 此过程将指导您在装有被测应用程序的 Web 服务器中部署 IAST 代理。 |
| 在 AppScan Enterprise 中管理 IAST 代理 | 此过程将指导您如何在单个应用程序上创建和管理多个代理。 |
IAST 代理系统要求
服务器:
- Tomcat(V7 或更高版本)
- WebSphere(V8.5 或更高版本)
- Websphere Liberty(V19 或更高版本)
- Open Liberty(V19 或更高版本)
- JBoss/Wildfly(V10 或更高版本)
- Weblogic(V12 或更高版本)
运行时环境:
- Web 应用程序服务器运行 JRE/JDK 1.8 或更高版本
框架:
- Struts
- Spring Boot
软件:
- Java V8 和更高版本
.NET
- CPU:推荐值为 4,最低值为 2
- RAM:最小 8GB
- 运行 IIS 7 或更高版本的服务器
- .NET Framework 4.5、4.72、4.8
Node.JS
- JavaScript ECMAScript 6
- 应用程序框架:Express 4