Anwendungssicherheit
IAST (Interactive Application Security Testing)
Auch bekannt als: Interaktive Analyse, Laufzeit-Codeanalyse
Definition
Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
Beispiele
- Einen Contrast-Security-Agent in QA an einen Java-Service anhängen, um während E2E-Tests XSS zu finden.
- Seeker einsetzen, um SQL-Injection in einer Node.js-API während Cypress-Flows zu bestätigen.
Verwandte Begriffe
SAST (Static Application Security Testing)
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
RASP (Runtime Application Self-Protection)
Eine in die laufende Anwendung eingebettete Verteidigung, die den Ausführungskontext überwacht und bösartiges Verhalten wie Injection oder unsichere Deserialisierung in Echtzeit blockiert.
Fuzz-Testing
Automatisierte Testtechnik, die ein Programm mit großen Mengen fehlerhafter, zufälliger oder unerwarteter Eingaben füttert, um Crashes, Speicherkorruption und Sicherheitslücken aufzudecken.
Secure Coding
Secure Coding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.