Search Our Site

注册
交互式应用安全测试(IAST:Interactive Application Security Testing)在应用程序内进行,并且会不断地监控和识别漏洞。切面式编程技术允许IAST平台在运行时编排分析现有的应用程序。
IAST平台从应用程序内提取上下文、数据流和控制流信息并且提供访问通过运行代码的实际数据值。正因为有了如此丰富的信息,IAST平台才不会产生误报,并且能够识别其他工具所不能达到的前所未有的水平。 例如,当这些信用卡最终暴露在日志文件中时,IAST平台可以识别并且报告从数据库中提取出来的信用卡号码。或者在一个属性文件中指定弱加密算法。或者甚至是数据从编码cookie中流出,经过一个数据bean到一个会话存储,进入到一个JSF组件,最后进入到浏览器- 指示XSS漏洞。
同时,IAST平台 也可以看出漏洞跨越的自定义代码、第三方库、应用框架和运行平台本身。无论使用静态还是动态分析工具,安全分析师通过人工来深度查找该类型漏洞无疑显得非常困难。