我们在之前的系列中提到过IAST安全检测工具可分为被动式IAST和主动式IAST。
被动式IAST
被动式IAST有一个优势是在自动或手动启动业务测试时,就可自动触发安全测试,通过测试流量就可以实时地进行漏洞检测,并不会影响同时运行的其他测试活动,功能测试完成了,安全测试也就完成了。在这个过程中不会产生脏数据。
IAST+DAST?
但同时IAST也存在一定的限制,对于部分复杂的漏洞场景,由于漏洞检测不依赖真实的漏洞 Payload,所以在验证漏洞的可利用性时,可能存会在一定难度。这不正好是 DAST最擅长的吗?
有没有可能把两个工具结合起来,用DAST来交叉验证IAST的漏洞检测结果呢?这样就可以更方便地验证漏洞,有效地降低漏洞修复工作的难度了。
通过这样一个架构,洞态IAST已经实现了与黑盒DAST工具的一体化联动。
#1
用户的所有请求通过一层黑盒代理(通过浏览器代理配置)同时发送给黑盒扫描器和已经插桩了的洞态 Agent 的业务应用,黑盒代理会增加标识头用于后续请求的数据关联。
#2
黑盒扫描器收到请求后会构造漏洞扫描的 Payload 并直接发送给已经插桩了洞态 Agent 的业务应用,这里黑盒扫描器发送请求时会带一个请求头用于后续区分原始请求和扫描请求。
#3
洞态 Agent 根据收到的请求里的请求头,按照需要在响应头里增加对应的请求 ID,后续使用该 ID 对洞态采集的请求和黑盒扫描器的漏洞扫描结果进行关联。
#4
数据关联之后用户可以在洞态 Web 页面看到已关联的漏洞信息,也可以修改关联不准确的数据。
黑盒扫描器可以通过推或拉的方式将漏洞及其请求数据发送给洞态 Server。
这里的黑盒代理是一个通用的转换器,目前已经实现了X-Ray数据的关联,其他的黑盒扫描工具也可以参照规范在实现请求头修改和数据同步之后对漏洞数据进行关联。
下面我们看一个实际的扫描漏洞关联的例子。
可以看到这里是有明确说明的 Payload 的,安全或者研发人员可以直接用于漏洞的复现,可以对该漏洞优先进行处理。
洞态IAST会展示详细的漏洞链路,可以看到污点来源方法、传播方法和危险方法。
响应信息:
详细配置过程可以参照:洞态 IAST 联动 X-Ray 使用手册
https://i0x0fy4ibf.feishu.cn/wiki/wikcn9hKakyNnTOaul4E89vMblh
其实无论是IAST、DAST还是SAST等,都在应用安全测试里拥有着各自的独特价值。现在,相较于追求某个单点安全工具的极致性能,更多地去思考产品之间的组合和联动,让安全数据流动起来,发挥1+1>2的效果,或许是一个更具性价比的安全建设路径。
好,今天的IAST百科全书就到这里,下期节目,咱们一起学习啥是污点跟踪算法。
近期评论