2023年7月21日
IAST 下基于请求调用链的漏洞验证方案及其问题
用 IAST 本身的检测逻辑对漏洞进行验证还是存在比较多的问题的,在实际场景中比较难以做到 DAST 的准确率,同时其覆盖的漏洞场景可能会比 DAST 更少,如果不基于调用链污点关联方式进行验证,那实际上就只有使用 DAST 的方式去验证响应信息了。
用 IAST 本身的检测逻辑对漏洞进行验证还是存在比较多的问题的,在实际场景中比较难以做到 DAST 的准确率,同时其覆盖的漏洞场景可能会比 DAST 更少,如果不基于调用链污点关联方式进行验证,那实际上就只有使用 DAST 的方式去验证响应信息了。
近期评论