IAST百科全书 · 2023年8月17日 0

IAST百科全书第14期:IAST是怎么梳理API的?

hello大家好,欢迎来到IAST百科全书第14期。

随着现代应用和APP的持续发展,它们的功能和模块不断变得更加复杂,开发者们引入了第三方组件和微服务等创新技术。

这些不同的组件和微服务之间需要通过API进行通信和互相调用,这种依赖关系也随着应用数量和复杂程度的增加而变得更为频繁。

然而,这也导致了一个问题,许多企业难以准确地追踪自己使用了多少个API,更不用说有效地对这些API进行管理,以规避潜在的API安全问题了。

借助IAST工具,我们可以有效地进行API接口的统计和梳理,从而帮助企业实现对API的规范化管理。那么,IAST工具是如何实现API梳理的呢?

IAST采用了插桩技术,这种技术天然适用于跨服务和微服务的环境。在插桩之后,IAST可以在应用运行时捕获到所有交互数据,其中当然也包括了API数据。

IAST通过分析应用运行过程中调用的API,可以从应用中提取与API相关的信息,然后自动对应用和API的代码进行分析,从而完成对API资产的梳理工作。

根据我们目前的经验,IAST实现API发现主要有两种方式:

01 框架分析

首先是框架分析。这种方法基于应用中已有的标准方法,在程序运行时,IAST会读取API,并调用框架中的接口定义方法。

通过这些已有的框架方法,IAST可以获取程序中的API资产。

目前,洞态已经支持对springboot、springMVC和dubbo框架中的API进行收集。通过解析字节码的结果,洞态能够识别出Java类和方法中所包含的API,并从中获取全量的API接口信息。

02 Agent流量分析

另一种方法是Agent流量分析。通过在插桩后的Agent收集测试过程中使用到的API信息,IAST可以持续监控和分析发送到应用的流量,从而更深入地梳理应用接口的资产清单。

最后,IAST会从多种渠道获得的数据进行对比和分析,最终完成对API的梳理工作,帮助企业更好地管理和保障API的安全性。


好了,今天的IAST百科全书就到这里~

视频链接:IAST百科全书第14期:IAST是怎么梳理API的?_哔哩哔哩_bilibili

关于IAST的更多落地实践

可以扫码看看洞态IAST的落地实践案例