关于交互式监控 (IAST)
ASoC 可以监控普通的应用程序运行时行为,以检测漏洞。
AppScan on Cloud 交互式监控技术 (IAST) 使用部署在被测应用程序的 Web 服务器上的代理程序来监控运行时发送的流量,并报告其发现的漏洞。与动态和静态 ASoC 扫描不同,IAST 监控会话不会生成自己的流量,而是监控系统测试、监控手动探索或监控在 DAST 扫描期间发送的流量。您可以持续识别运行时问题,而无需发送专用测试请求。
DAST 扫描将应用程序视为“黑匣”,IAST 代理则可以看到匣子“内部”,从而能够提供有关漏洞的更多详情。IAST 代理程序可以提供漏洞在代码中的位置、URL 和特定易受攻击实体(例如参数、标头或 Cookie);SAST 扫描仅提供位置,DAST 扫描仅提供 URL 和实体。
当您在 Web 服务器上安装 IAST 代理程序并开始 IAST 监控会话时,代理程序会监控发送到应用程序的流量(请求、调用堆栈、变量等),并向 ASoC 报告其发现的漏洞。与 ASoC 扫描不同,IAST 会话可以无限地运行。只有已配置为在代理断开连接时停止,且代理确实断开连接时,IAST 会话才会自动停止。
您可以设置 IAST 代理,该代理通过用户界面或通过 REST API 与 ASoC 通信。
典型工作流程
步骤 | 详细信息 |
---|---|
配置并开始 IAST 扫描 | IAST 代理程序将下载到您的计算机。 |
在应用程序服务器上部署 IAST 代理程序 | 尽管在此步骤之前在技术上已开始会话,但问题只有在部署代理程序时才能发现。 |
在应用程序上运行系统测试、手动探索或 DAST 扫描。 | 代理程序开始向 ASoC 报告其发现的问题,这些问题将显示在 IAST 扫描条目中。 |
定期检查发现的问题。 | 在所有问题选项卡中,单击详细信息链接,以查看 IAST 问题的 URL 和调用跟踪。 |
在下一个开发阶段:
|
当您重新启动会话时,问题计数器将重置,因此它只显示新问题,使您能够跟踪开发进度。 |
IAST 的系统要求
一般:
- CPU:推荐值为 4,最低值为 2
- RAM:至少 8GB
- 如果部署应用程序的服务器上有防火墙,请确保为 ASoC 域设置例外 (cloud.appscan.com)。
Java |
|
.NET |
|
Node.js |
|
PHP |
Windows:
Linux (Ubuntu):
Linux (RedHat):
注: 有关其他 PHP 发行版或平台的 IAST 支持,请联系 AppScan 支持团队。
|