IAST:交互式應用程序安全測試(Interactive Application Security Testing)。
近年來,IAST作為一種新的應用安全測試技術,受到廣泛的關注,慢慢出現了一些iast開源項目,可以讓更多的個人或者企業參與體驗。
本文就目前網絡中找到的幾款iast工具進行部署測試,記錄一些使用過程。
1、openrasp-iast
openrasp-iast 是一款灰盒掃描工具,目前開源的IAST掃描器,通過安裝Agent和掃描器,能夠結合應用內部hook點信息,針對獲取到的url請求參數進行fuzz,從而檢測到安全漏洞。
支持的編程語言:Java、PHP
官方文檔:https://rasp.baidu.com/doc/install/iast.html
2、火線~洞態IAST
洞台IAST提供SAAS平台,通過填寫問卷注冊登錄控制台,下載Agent進行應用部署,然后正常訪問應用,就可以觸發漏洞檢測,漏洞結果提供比較詳細的HTTP數據包和污點流圖,可用於快速驗證和復現漏洞。
支持的編程語言:Java、C#、Net Core。
官方主頁:https://hxsecurity.github.io/DongTaiDoc/#/
3、Semmle QL
以一種獨特的方法尋找代碼中的漏洞,將代碼當成數據,將分析問題變成對數據庫的請求。
支持的編程語言:Java,Python,JavaScript,TypeScript,C#,Go,C/C ++。
免費檢測平台:https://lgtm.com
