IAST 技术进阶系列（二）：全场景多核驱动( 二 ) 应用缺陷深度检测分析能力是

文章图片
如上图所示，插桩探针仅收集关键数据，不会追踪整个污点数据流。服务器收到从插桩探针返回的数据后，会向应用服务器发送构造好的重放流量来验证风险是否存在。
通过交互式缺陷定位的检测模式，不仅解决了传统DAST无法精确定位漏洞位置的问题，还有着比传统SAST技术低得多的误报率。此外，在脏数据处理上也有着不错的表现，并且可以针对应用测试结果进行全方位复现和验证测试，相比动态污点追踪有着更低的系统开销，对业务系统稳定性的影响也更小。在非复杂数据包加密、内部测试流量管控等特殊场景下，它更加符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。
由于交互式缺陷定位会主动发送Payload来验证漏洞，因此在IAST技术中也被称为主动插桩。
流量检测模式
1、终端流量代理
终端流量代理检测是流量检测模式中检测成本最低的一种方式，只需要在测试人员的主机配置代理/VPN ，将测试流量转发至检测引擎，检测引擎在将正常流量转发至业务服务器的同时，也会将重构的流量同时发送到业务服务器进行安全检测。

文章图片
如上图所示，测试人员在客户端配置代理（操作系统、浏览器、移动设备等），将流量转发到IAST检测引擎。检测引擎接收到流量后，会直接将原始流量转发到目标应用服务器，然后在这个流量进行修改后重新发送到目标服务器，根据重构流量的响应来判断是否存在相关漏洞（如上图中红色部分）。
终端流量代理对于业务的入侵性极低，不依赖业务系统的语言环境，无需对现有业务系统进行修改即可实现高效的检出。
2、主机流量嗅探
主机流量嗅探监测业务服务器的流量网卡，通过嗅探节点将经过主机网卡的所有流量复制到检测引擎端，由引擎端对流量进行重构，重新发送到业务服务器进行检测。

文章图片
3、旁路流量镜像
旁路流量镜像是基于交换机的镜像功能，将经过交换机下的所有流量通过镜像口导出，在网络出口旁路部署流量镜像，再将测试流量复制到检测引擎端，由引擎端对流量进行重构，重新发送到业务服务器进行检测。

文章图片
日志检测模式
Web日志分析
Web日志分析是将Nginx、Apache等Web服务的日志，通过转发器转发至Kafka等消息队列中，再由IAST引擎进行消费，引擎端分析日志数据并生成重构流量，发送到业务服务器进行检测。

文章图片
通过对Web日志的分析，可以快速从反向代理服务器中梳理出应用程序资产，并对它们进行安全检测。
爬虫检测模式
纵深嗅探扫描
纵深嗅探扫描采用主动PoC漏洞验证技术，即通过Web爬虫获取网站Sitemap后向目标系统发送真实的“攻击”载荷，分析目标系统变化和返回内容，判断是否存在漏洞。使用纵深嗅探扫描需要的成本极低，只需提供URL即可自动进行分析。

文章图片
IAST全场景支持的必要性
与传统开发模式将安全作为补充相比， DevOps动态环境下的开发安全要求将安全融合于软件开发的全流程， DevSecOps理念将安全融入软件开发的规划、设计、编码、测试、上线运行等各个环节，强调安全无处不在。 IAST作为DevSecOps建设落地的关键平台，通过主被动插桩、流量、日志分析多种检测模式的结合，为动态持续的软件开发环境提供最佳安全测试服务。由此可见，好的IAST平台一定能适应各类业务场景。