IAST (Interactive Application Security Testing)
Что такое IAST (Interactive Application Security Testing)?
IAST (Interactive Application Security Testing)Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.
Агенты IAST встраиваются в процесс приложения через хуки рантайма языка и в реальном времени наблюдают потоки данных, вызовы функций и HTTP-запросы. Сочетая внутренний взгляд SAST с runtime-контекстом DAST, IAST подтверждает, действительно ли отравленный ввод доходит до опасного стока, что резко снижает количество ложных срабатываний и точно указывает уязвимую строку. Обычно IAST используется во время функциональных или QA-тестов, а не в продакшене. Он хорошо подходит для языков, которые легко инструментировать, — Java, .NET, Node.js, Python. Среди инструментов — Contrast Security, Checkmarx CxIAST, Seeker.
● Примеры
- 01
Подключить агент Contrast Security к Java-сервису в QA для поиска XSS во время E2E-тестов.
- 02
Использовать Seeker, чтобы подтвердить SQL-инъекцию в Node.js API во время сценариев Cypress.
● Частые вопросы
Что такое IAST (Interactive Application Security Testing)?
Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами. Относится к категории Безопасность приложений в кибербезопасности.
Что означает IAST (Interactive Application Security Testing)?
Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.
Как защититься от IAST (Interactive Application Security Testing)?
Защита от IAST (Interactive Application Security Testing) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия IAST (Interactive Application Security Testing)?
Распространённые альтернативные названия: Интерактивный анализ, Анализ кода в рантайме.