Entry № 566
IAST(交互式应用安全测试)
IAST(交互式应用安全测试) 是什么?
IAST(交互式应用安全测试)通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
IAST 探针通过语言运行时挂钩注入应用进程,实时观察数据流、函数调用和 HTTP 请求。它结合了 SAST 的内部视角与 DAST 的运行时上下文,可以确认被污染的输入是否真正到达危险的汇点,从而大幅降低误报并精确定位漏洞行。通常在功能或 QA 测试阶段运行,而不是生产环境。IAST 主要支持可插桩的语言,如 Java、.NET、Node.js 与 Python;代表工具包括 Contrast Security、Checkmarx CxIAST 与 Seeker。
● 示例
- 01
在 QA 中将 Contrast Security 代理注入到 Java 服务,在端到端测试期间发现 XSS。
- 02
在运行 Cypress 流程时,用 Seeker 确认 Node.js API 中的 SQL 注入。
● 常见问题
IAST(交互式应用安全测试) 是什么?
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。 它属于网络安全的 应用安全 分类。
IAST(交互式应用安全测试) 是什么意思?
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
如何防御 IAST(交互式应用安全测试)?
针对 IAST(交互式应用安全测试) 的防御通常结合技术控制与运营实践,详见上方完整定义。
IAST(交互式应用安全测试) 还有哪些其他名称?
常见的别称包括: 交互式分析, 运行时代码分析。