AppScan Enterprise 中的交互式应用程序安全测试 (IAST)
交互式应用程序安全测试 (IAST) 技术使用部署在被测应用程序的 Web 服务器上的代理程序来监视运行时期间发送的流量,并报告其发现的漏洞。与 DAST 扫描不同,IAST 监视会话不会生成自己的流量,而是监视系统测试、监视手动探索或监视在 DAST 或 SAST 扫描期间发送的流量。因此,您可以持续识别运行时问题,而无需向应用程序发送专用测试请求以监视问题。
DAST 扫描将应用程序视为“黑匣子”,IAST 代理程序则可以看到匣子“内部”,从而能够提供有关漏洞的更多详情,例如:漏洞在代码中的位置、URL 和特定易受攻击实体(例如参数、标头或 Cookie);SAST 扫描仅提供位置,DAST 扫描仅提供 URL 和实体。
当您在 Web 服务器上安装 IAST 代理并开始 IAST 监视会话时,代理会监视发送到应用程序的流量(请求、调用堆栈、变量等),并向 AppScan Enterprise 报告其发现的漏洞。与 SAST 和 DAST 扫描不同,IAST 会话可以无限地运行。
您可以设置 IAST 代理,该代理通过 UI 或 REST API 与 AppScan Enterprise 通信。有关 IAST REST API 的更多信息,请参阅 REST API 文档。
如何在 AppScan Enterprise 中使用 IAST
如何... | 详细信息 |
---|---|
在 AppScan Enterprise Server 中配置 IAST 通信服务 | 此过程将指导您在 AppScan Enterprise 中配置 IAST 通信服务。 |
下载并在 Web 服务器上部署 IAST 代理 | 此过程将指导您在装有被测应用程序的 Web 服务器中部署 IAST 代理。 |
在 AppScan Enterprise 中管理 IAST 代理 | 此过程将指导您如何在单个应用程序上创建和管理多个代理。 |
IAST 代理系统要求
Java | .NET Framework | Node.js |
---|---|---|
|
|
|