IAST (Pruebas interactivas de seguridad de aplicaciones)
¿Qué es IAST (Pruebas interactivas de seguridad de aplicaciones)?
IAST (Pruebas interactivas de seguridad de aplicaciones)Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests.
Los agentes IAST se cargan en el proceso de la aplicación (mediante hooks del runtime del lenguaje) y observan flujos de datos, llamadas de función y peticiones HTTP en tiempo real. Al combinar la visión interna del SAST con el contexto de ejecución del DAST, IAST puede confirmar si una entrada contaminada llega realmente a un sink peligroso, lo que reduce los falsos positivos y señala la línea exacta vulnerable. Suele ejecutarse durante pruebas funcionales o QA, no en producción. Funciona mejor en lenguajes instrumentables como Java, .NET, Node.js y Python; herramientas: Contrast Security, Checkmarx CxIAST y Seeker.
● Ejemplos
- 01
Adjuntar un agente Contrast Security a un servicio Java en QA para detectar XSS durante pruebas E2E.
- 02
Usar Seeker para confirmar SQL injection en una API Node.js mientras se ejecutan flujos de Cypress.
● Preguntas frecuentes
¿Qué es IAST (Pruebas interactivas de seguridad de aplicaciones)?
Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa IAST (Pruebas interactivas de seguridad de aplicaciones)?
Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests.
¿Cómo defenderse de IAST (Pruebas interactivas de seguridad de aplicaciones)?
Las defensas contra IAST (Pruebas interactivas de seguridad de aplicaciones) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para IAST (Pruebas interactivas de seguridad de aplicaciones)?
Nombres alternativos comunes: Análisis interactivo, Análisis de código en tiempo de ejecución.