应用安全
IAST(交互式应用安全测试)
别称: 交互式分析, 运行时代码分析
定义
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
IAST 探针通过语言运行时挂钩注入应用进程,实时观察数据流、函数调用和 HTTP 请求。它结合了 SAST 的内部视角与 DAST 的运行时上下文,可以确认被污染的输入是否真正到达危险的汇点,从而大幅降低误报并精确定位漏洞行。通常在功能或 QA 测试阶段运行,而不是生产环境。IAST 主要支持可插桩的语言,如 Java、.NET、Node.js 与 Python;代表工具包括 Contrast Security、Checkmarx CxIAST 与 Seeker。
示例
- 在 QA 中将 Contrast Security 代理注入到 Java 服务,在端到端测试期间发现 XSS。
- 在运行 Cypress 流程时,用 Seeker 确认 Node.js API 中的 SQL 注入。
相关术语
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
RASP(运行时应用自保护)
嵌入到运行中应用程序内部的防御机制,实时监视执行上下文并阻断注入、反序列化攻击等恶意行为。
模糊测试
通过向程序输入大量畸形、随机或未预期的数据,自动发现崩溃、内存破坏与安全漏洞的测试技术。
Secure Coding
Secure Coding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.