0x00 前言
相对于awvs和netsparker的IAST,百度iast为主动型插桩技术,无需人工配置任务及代理等,由agent采集请求及hook点信息,自动选择扫描漏洞类型,极大的增加覆盖率和效率,减少脏数据产生
主动型扫描,不适用于参数加密、编码、防重放等场景
管理后台部署参考 OpenRASP 部署
0x01 开启灰盒扫描
参考 安装灰盒扫描工具
| 项目 | IAST | SAST | DAST |
|---|---|---|---|
| 测试覆盖度 | 高,由功能测试覆盖度保障 | 高 | 低 |
| 检出率 | 高 | 高 | 中 |
| 误报率 | 低 | 高,需要编写规则 | 低 |
| 扫描效率 | 准实时检测 | 非实时,与程序复杂度、代码量相关 | 非实时,程序越复杂,安全测试用例就越多 |
| 扫描报告 | 包含动态数据流、请求响应、应用代码信息 | 只有静态代码信息 | 只有请求和响应信息 |
| 并发检测 | 资源消耗分布端上,可支持上百个任务 | CPU 消耗较大 | 网络资源消耗 |
| 语言支持 | 区分不同语 | 区分不同语 | 不区分语言 |
| 框架支持 | 一定程度区分 | 一定程度区分 | 不区分框架 |
| 使用风险 | 无 | 无 | 脏数据、大流量 |
| 使用成本 | 低,基本没有误报 | 高,人工排查误报 | 低 |
| 开发流程集成度 | 无缝集成开发和测试阶段,零成本完成 | 安全测试 | 开发阶段,成本较高 测试阶段,成本较高 |
通过综合对比,IAST 不仅解决了传统 DAST 无法精确定位漏洞位置的问题,还有着比传统 SAST 技术低得多的误报率。在脏数据处理、对系统稳定性影响更小,这里对IAST产品做调研
