CyberGlossary

Безопасность приложений

IAST (Interactive Application Security Testing)

Также известно как: Интерактивный анализ, Анализ кода в рантайме

Определение

Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.

Агенты IAST встраиваются в процесс приложения через хуки рантайма языка и в реальном времени наблюдают потоки данных, вызовы функций и HTTP-запросы. Сочетая внутренний взгляд SAST с runtime-контекстом DAST, IAST подтверждает, действительно ли отравленный ввод доходит до опасного стока, что резко снижает количество ложных срабатываний и точно указывает уязвимую строку. Обычно IAST используется во время функциональных или QA-тестов, а не в продакшене. Он хорошо подходит для языков, которые легко инструментировать, — Java, .NET, Node.js, Python. Среди инструментов — Contrast Security, Checkmarx CxIAST, Seeker.

Примеры

  • Подключить агент Contrast Security к Java-сервису в QA для поиска XSS во время E2E-тестов.
  • Использовать Seeker, чтобы подтвердить SQL-инъекцию в Node.js API во время сценариев Cypress.

Связанные термины