IAST - IAST：交互式应用程序安全测试 - 《应用安全》

摘自：IAST：交互式应用程序安全测试 IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术，曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势，漏洞检出率极高、误报率极低，同时可以定位到API接口和代码片段。

1.实现原理

IAST的实现模式较多，常见的有代理模式、VPN、流量镜像、插桩模式，本文介绍最具代表性的2种模式，代理模式和插桩模式。代理模式，在PC端浏览器或者移动端APP设置代理，通过代理拿到功能测试的流量，利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。插桩模式，插桩模式是在保证目标程序原有逻辑完整的情况下，在特定的位置插入探针，在应用程序运行时，通过探针获取请求、代码数据流、代码控制流等，基于请求、代码、数据流、控制流综合分析判断漏洞。插桩模式具体实现有2种模式，Active 插桩和Passive 插桩。

代理模式实现原理

IAST：交互式应用程序安全测试 - 图1

a. 功能测试人员在浏览器或者APP中设置代理，将IAST设备地址填入； b. 功能测试人员开始功能测试，测试流量经过IAST设备，IAST设备将流量复制一份，并且改造成安全测试的流量； c. IAST设备利用改造后的流量对被测业务发起安全测试，根据返回的数据包判断漏洞信息。插桩需要在服务器中部署Agent，不同的语言不同的容器要不同的Agent，这对有些用户来说是不可接受的。而代理模式不需要服务器中部署Agent，只是测试人员要配置代理，安全测试会产生一定的脏数据，漏洞的详情无法定位到代码片段，适合想用IAST技术又不接受在服务器中部署Agent的用户使用。

Active插桩实现原理

IAST：交互式应用程序安全测试 - 图2

a. 被测试服务器中安装IAST插桩 Agent； b. DAST Scanner发起扫描测试； c. IAST插桩 Agent追踪被测试应用程序在扫描期间的反应附加测试，覆盖率和上下文，将有关信息发送给Management Server，Management Server展示安全测试结果。 Active 插桩模式需要在被测试应用程序中部署插桩 Agent，使用时需要外部扫描器去触发这个Agent。一个组件产生恶意攻击流量，另一个组件在被测应用程序中监测应用程序的反应，由此来进行漏洞定位和降低误报。 Active 插桩模式更像是一种改进版的DAST技术，目前最新的AWVS、AppScan已经采用了Active 插桩模式。AWVS集成了“AcuSensor”模块，通过在源代码中部署传感器来增强定期动态扫描。AcuSensor能够在AWVS扫描期间检查Web应用程序执行时的源代码，在后端抓取应用程序，提供100％爬行覆盖率，查找并测试在黑盒扫描期间未发现的隐藏输入。AppScan则是集成了“Glass Box”服务模块，这使得AppScan支持 Web 2.0、JavaScript 和 AJAX 框架。 Active 插桩模式解决了传统DAST漏报和无法精确定位漏洞位置的问题，需要先做扫描，扫描触发漏洞需要一定的时间，而且扫描会对业务测试产生影响。在双向HTTPS加密、CSRF Token页面、防攻击重放等场景下Active 插桩模式依然无法进行安全测试。

Passive 插桩实现原理

IAST：交互式应用程序安全测试 - 图3

a. 被测试服务器中安装插桩 Agent； b. 插桩 Agent在应用程序运行时获取请求和代码数据流、代码控制流； c. 插桩Agent将获取的信息发送给Management Sever，Management Sever展示安全测试结果。 Passive 插桩在程序运行时监视应用并分析代码，它不会主动对Web应用程序执行攻击，而是纯粹被动地分析检测代码。这实际上是一个巨大的优势，因为它不会影响同时运行的其他测试活动，并且只需要业务测试（手动或自动）来触发安全测试，有测试流量过来就可以实时的进行漏洞检测。插桩模式的关键是Agent，Agent需要根据不同语言进行开发，但是功能基本相同：

获取请求数据和返回数据；
代码执行中的参数传递；
数据库查询（如ODBC）；
目录查询（如LDAP），文件系统权限；
监听内存中特定的值，识别受污染的输入；
第三方库的使用;
对外部应用程序和服务的调用；
特定代码的执行等。