关于交互式监控 (IAST)

ASoC 可以监控普通的应用程序运行时行为,以检测漏洞。

AppScan on Cloud 交互式监控技术 (IAST) 使用部署在被测应用程序的 Web 服务器上的代理程序来监控运行时发送的流量,并报告其发现的漏洞。与动态和静态 ASoC 扫描不同,IAST 监控会话不会生成自己的流量,而是监控系统测试、监控手动探索或监控在 DAST 扫描期间发送的流量。您可以持续识别运行时问题,而无需发送专用测试请求。

DAST 扫描将应用程序视为“黑匣”,IAST 代理则可以看到匣子“内部”,从而能够提供有关漏洞的更多详情。IAST 代理程序可以提供漏洞在代码中的位置、URL 和特定易受攻击实体(例如参数、标头或 Cookie);SAST 扫描仅提供位置,DAST 扫描仅提供 URL 和实体。

当您在 Web 服务器上安装 IAST 代理程序并开始 IAST 监控会话时,代理程序会监控发送到应用程序的流量(请求、调用堆栈、变量等),并向 ASoC 报告其发现的漏洞。与 ASoC 扫描不同,IAST 会话可以无限地运行。只有已配置为在代理断开连接时停止,且代理确实断开连接时,IAST 会话才会自动停止。

您可以设置 IAST 代理,该代理通过用户界面或通过 REST API 与 ASoC 通信。

典型工作流程

步骤 详细信息
配置并开始 IAST 扫描 IAST 代理程序将下载到您的计算机。
在应用程序服务器上部署 IAST 代理程序 尽管在此步骤之前在技术上已开始会话,但问题只有在部署代理程序时才能发现。
在应用程序上运行系统测试、手动探索或 DAST 扫描。 代理程序开始向 ASoC 报告其发现的问题,这些问题将显示在 IAST 扫描条目中。
定期检查发现的问题 所有问题选项卡中,单击详细信息链接,以查看 IAST 问题的 URL 和调用跟踪。
在下一个开发阶段:
  1. 重新启动相同的会话。
  2. 运行相同的系统测试或 DAST 扫描。
  3. 停止会话。
  4. 比较新结果与以前的结果。
当您重新启动会话时,问题计数器将重置,因此它只显示问题,使您能够跟踪开发进度。

IAST 的系统要求

一般:
  • CPU:推荐值为 4,最低值为 2
  • RAM:至少 8GB
  • 如果部署应用程序的服务器上有防火墙,请确保为 ASoC 域设置例外 (cloud.appscan.com)。
1.
Java
  • 服务器:
    • Tomcat(V7 或更高版本)
    • WebSphere(V8.5 或更高版本)
    • Websphere Liberty(V19 或更高版本)
    • Open Liberty(V19 或更高版本)
    • JBoss/Wildfly(V10 或更高版本)
    • JBoss EAP(企业应用程序平台)6、7
    • Weblogic(V12 或更高版本)
    • Jetty
    • Quarkus(JVM 方式)
  • 运行时环境:运行 JRE/JDK 1.8.144 及更高版本的 Web 应用程序服务器
  • 框架:Spring 5、Spring 6、Struts、Resteasy、Vertx 3、Vertx4
  • 软件:Java V8 和更高版本
.NET
  • IIS 7 或更高版本、Kestrel
  • 运行 IIS 7 或更高版本的服务器
  • .NET Framework 4.5、4.62、4.72、4.8
  • .NET 5、6、7、8
  • .NET Core 3.1
Node.js
  • 应用程序框架:Express 4
  • JavaScript ECMAScript 6
PHP

Windows:

  • 8.1.X

Linux (Ubuntu):

  • 8.1.X
  • 8.2.X
  • 8.3.X

Linux (RedHat):

  • 8.1.X
注: 有关其他 PHP 发行版或平台的 IAST 支持,请联系 AppScan 支持团队。