IAST (Interactive Application Security Testing)
Was ist IAST (Interactive Application Security Testing)?
IAST (Interactive Application Security Testing)Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
IAST-Agents werden über Runtime-Hooks in den Anwendungsprozess geladen und beobachten Datenflüsse, Funktionsaufrufe und HTTP-Requests in Echtzeit. Durch die Kombination der Innensicht von SAST mit dem Laufzeitkontext von DAST kann IAST bestätigen, ob ein verseuchter Eingabewert tatsächlich einen gefährlichen Sink erreicht – das reduziert Falsch-Positive deutlich und benennt die verwundbare Codezeile. IAST läuft meist in QA- oder Funktionstests, nicht in Produktion. Es funktioniert gut für instrumentierbare Sprachen wie Java, .NET, Node.js und Python; Beispiele: Contrast Security, Checkmarx CxIAST, Seeker.
● Beispiele
- 01
Einen Contrast-Security-Agent in QA an einen Java-Service anhängen, um während E2E-Tests XSS zu finden.
- 02
Seeker einsetzen, um SQL-Injection in einer Node.js-API während Cypress-Flows zu bestätigen.
● Häufige Fragen
Was ist IAST (Interactive Application Security Testing)?
Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet IAST (Interactive Application Security Testing)?
Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
Wie schützt man sich gegen IAST (Interactive Application Security Testing)?
Schutzmaßnahmen gegen IAST (Interactive Application Security Testing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für IAST (Interactive Application Security Testing)?
Übliche alternative Bezeichnungen: Interaktive Analyse, Laufzeit-Codeanalyse.