AppScan Enterprise 中的互動式應用程式安全測試 (IAST)

「互動式應用程式安全測試 (IAST)」技術使用在測試應用程式的 Web 伺服器上部署的代理程式,來監視在執行時間傳送的流量,並報告所發現的漏洞。不同於 DAST 掃描,IAST 監視階段作業不會產生本身的流量,而會監視您的系統測試、手動探索,或 DAST 或 SAST 掃描期間所傳送的流量。因此,您可以持續識別執行時間問題,而不需要傳送專用測試要求至應用程式以監視問題。

DAST 掃描會將應用程式視為「黑盒」,而 IAST 代理程式則會看見黑盒的「內部」,因此能夠提供關於漏洞的更多細節,例如漏洞在程式碼中的位置、URL 和特定有漏洞的實體(例如,參數、標頭或 Cookie),而 SAST 僅提供位置,而且 DAST 僅提供 URL 和實體。

您在 Web 伺服器上安裝 IAST 代理程式並啟動 IAST 監視階段作業時,此代理程式將監視向應用程式傳送的流量(要求、呼叫堆疊、變數等等),並向 AppScan Enterprise 報告發現的漏洞。與 SAST 和 DAST 掃描不同,IAST 階段作業可以無限期執行。

您可以設置透過 UI 或 REST API 與 AppScan Enterprise 通訊的 IAST 代理程式。如需 IAST REST API 的相關資訊,請參閱 REST API 說明文件。

如何在 AppScan Enterprise 中使用 IAST

1. IAST 工作流程
如何... 詳細資料
在 AppScan Enterprise Server 中配置 IAST Communication Service 此程序將指示您配置 AppScan Enterprise 中的 IAST Communication Service。
在 Web 伺服器上下載和部署 IAST 代理程式 此程序將指示您在安裝測試應用程式所在的 Web 伺服器中部署 IAST 代理程式。
在 AppScan Enterprise 中管理 IAST 代理程式 此程序將指示您如何在單一應用程式上建立和管理多個代理程式。

IAST 代理程式系統需求

伺服器:
  • Tomcat,第 7 版或更新版本
  • WebSphere,8.5 版或更新版
  • WebSphere Liberty,第 19 版或更新版本
  • Open Liberty,第 19 版或更新版本
  • JBoss/Wildfly,第 10 版或更新版本
  • Weblogic,第 12 版或更新版本
執行時期環境:
  • 執行 JRE/JDK 1.8 或更新版本的 Web 應用程式伺服器
架構:
  • Struts
  • Spring Boot
軟體:
  • Java 第 8 版和更高版本
.NET
  • CPU:建議使用 4,最低需求為 2
  • RAM:最少 8GB
  • 執行 IIS 7 或更新版本的伺服器
  • .NET Framework 4.5、4.72、4.8
Node.JS
  • JavaScript ECMAScript 6
  • 應用程式架構:Express 4