Search Our Site

注册

让功能测试人员完成安全测试

对于大多数企业而言,无论是采用代码审核还是渗透测试工具查找漏洞,都会遇到费时耗力,且扰乱进程的难题。IAST交互式安全测试技术利用功能测试人员完成安全测试,无需额外投入人力,让安全测试变得心悦神怡。

实现功能

IAST安全测试平台是可同时应用于开发、测试与运维阶段的安全漏洞监测与防护工具。可同时实现静代码审核、动态渗透测试及WEB安全防火墙的功能,是实现轻量级SDLC(安全软件开发生命周期)的解决方案。
IAST安全测试平台提供三层防御:程序防护、精确定位漏洞和攻击可视化。


精确定位漏洞

在运行时实时发现漏洞,提供精确的结果。跨越开发与测试两个阶段,不依赖于安全专家和源代码,也不需要改变流程。精确定位漏洞内容包括:
Ø 通过深度安全插桩技术提供高精确度漏洞分析;
Ø  提供软件组合分析,包括第三方包、框架、已知与未知的漏洞;
Ø  自动化软件架构支持威胁建模和安全策略防御。
攻击可视化
Ø  应用程序安全可视化,而又无需打乱开发和操作;
Ø  保护程序攻击面;
Ø  获取精确的程序威胁和攻击数据;
Ø  整合第三方日志管理和SIEM解决方案。
程序防护
采用RASP技术在应用程序内部提供防护,如同应用程序自身一样观察攻击。Web 应用程序防火墙是与RASP技术提供相似运行时漏洞防护的产品,但Web 应用程序防火墙是依据就是一些很简单的模式匹配,不会考虑输入内容是否将被传送给包含漏洞的代码。RASP框架不同于 WAF,它与要保护的应用程序结合在一起,根据上下文提供检测,在源代码级别为应用程序的易受攻击区域提供保护。程序防护功能包括:
Ø  部署CVE防护,保护有漏洞的包不被攻击;
Ø  采用防护规则应对整个级别的攻击,如SQL注入、XSS攻击;
Ø 使用虚拟补丁包缩小黑客利用新发现漏洞的机会;
Ø 采用防爆机器自动屏蔽暴力攻击和扫描。

技术原理

整合IAST安全测试平台引擎采用深度插桩的交互式应用程序安全测试技术。交互式应用程序安全测试技术在应用程序内部执行,当程序运行时,能够持续地监视与查找漏洞。面向方面的编程技术使得安全测试平台可以在程序运行时嵌入安全分析。分析内容包括提取上下文内容、数据流、和控制流,访问程序运行时传递的值。通过这些有价值的信息,IAST安全测试平台可以达到其它工具所不能企及的精确度。

1-数据处理流程


2-信息收集


组件功能

IAST安全测试平台分为两个组件:Server和Agen。Server作为安全测试平台的主程序,其主要功能如下:
Ø 向开发人员、测试人员或安全运维人员提供可视化的界面,显示实时的安全信息;
Ø 获取来自Agent传输过来的数据,并进行智能化漏洞分析及显示;
Ø 采用保护规则阻止所有的攻击,诸如SQL注入、XSS,防止0day溢出;
Ø 提供漏洞的解决方案;
Ø  检测攻击并提供防护;
Ø 对共享库和第三方组件进行安全性检查;
Ø 格式化导出漏洞列表,并支持邮件发送。

Agent作为应用程序的代理组件进行安装、工作,其主要功能如下:
Ø 代理所有用户浏览器到应用程序之间的流量,并传输到Server;
Ø 获取服务器后端源代码,并传输到Server;
Ø 获取来自Server端发送的指令,并进行执行。

技术特性

安全测试不依赖于人
不管是SAST还是DAST工具都依赖于人去测试,这会耗费开发与测试人员大量的时间。IAST技术利用开发或测试人员在做功能测试的同时发现安全漏洞,不需要额外的时间,而且能够保证测试路径的完整性。

规则漏洞库覆盖范围广
高漏洞覆盖率,实现OWASP及CWE等权威漏洞组织的主要安全漏洞,并与之保持快速同步更新。

多应用处理能力
实现同时对100个以上的项目进行实时分析。对于大型企业,通常有成百上千个项目需要管理。IAST安全测试平台能够同时监控它们安全状态、并汇总结果。

高精确度高

由于IAST Agent能够同进观察到运行时数据传递的过程与相关代码,因此IAST安全测试平台具有SAST工具无法比拟的精确度。

同类产品比较