AppScan Enterprise 中的互動式應用程式安全測試 (IAST)
「互動式應用程式安全測試 (IAST)」技術使用在測試應用程式的 Web 伺服器上部署的代理程式,來監視在執行時間傳送的流量,並報告所發現的漏洞。不同於 DAST 掃描,IAST 監視階段作業不會產生本身的流量,而會監視您的系統測試、手動探索,或 DAST 或 SAST 掃描期間所傳送的流量。因此,您可以持續識別執行時間問題,而不需要傳送專用測試要求至應用程式以監視問題。
DAST 掃描會將應用程式視為「黑盒」,而 IAST 代理程式則會看見黑盒的「內部」,因此能夠提供關於漏洞的更多細節,例如漏洞在程式碼中的位置、URL 和特定有漏洞的實體(例如,參數、標頭或 Cookie),而 SAST 僅提供位置,而且 DAST 僅提供 URL 和實體。
您在 Web 伺服器上安裝 IAST 代理程式並啟動 IAST 監視階段作業時,此代理程式將監視向應用程式傳送的流量(要求、呼叫堆疊、變數等等),並向 AppScan Enterprise 報告發現的漏洞。與 SAST 和 DAST 掃描不同,IAST 階段作業可以無限期執行。
您可以設置透過 UI 或 REST API 與 AppScan Enterprise 通訊的 IAST 代理程式。如需 IAST REST API 的相關資訊,請參閱 REST API 說明文件。
如何在 AppScan Enterprise 中使用 IAST
| 如何... | 詳細資料 |
|---|---|
| 在 AppScan Enterprise Server 中配置 IAST Communication Service | 此程序將指示您配置 AppScan Enterprise 中的 IAST Communication Service。 |
| 在 Web 伺服器上下載和部署 IAST 代理程式 | 此程序將指示您在安裝測試應用程式所在的 Web 伺服器中部署 IAST 代理程式。 |
| 在 AppScan Enterprise 中管理 IAST 代理程式 | 此程序將指示您如何在單一應用程式上建立和管理多個代理程式。 |
IAST 代理程式系統需求
| Java | .NET Framework | Node.js |
|---|---|---|
|
|
|