IAST (Interactive Application Security Testing)
O que é IAST (Interactive Application Security Testing)?
IAST (Interactive Application Security Testing)Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.
Agentes IAST são carregados no processo da aplicação (via hooks do runtime da linguagem) e observam fluxos de dados, chamadas de função e requisições HTTP em tempo real. Combinando a visão interna do SAST com o contexto de execução do DAST, o IAST consegue confirmar se uma entrada contaminada realmente chega a um sink perigoso, o que reduz muito os falsos positivos e indica a linha vulnerável. Em geral roda durante testes funcionais ou QA, não em produção. O IAST funciona melhor em linguagens instrumentáveis como Java, .NET, Node.js e Python; exemplos: Contrast Security, Checkmarx CxIAST e Seeker.
● Exemplos
- 01
Anexar um agente Contrast Security a um serviço Java em QA para detectar XSS durante testes E2E.
- 02
Usar o Seeker para confirmar SQL injection em uma API Node.js enquanto rodam fluxos do Cypress.
● Perguntas frequentes
O que é IAST (Interactive Application Security Testing)?
Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa IAST (Interactive Application Security Testing)?
Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.
Como se defender contra IAST (Interactive Application Security Testing)?
As defesas contra IAST (Interactive Application Security Testing) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para IAST (Interactive Application Security Testing)?
Nomes alternativos comuns: Análise interativa, Análise de código em runtime.