Hvad er IAST (Interactive Application Security Testing)?
Interactive Application Security Testing (IAST) er en metode, der blander Statisk Applikationssikkerhedstest (SAST) og Dynamisk Applikationssikkerhedstest (DAST) for at finde applikationssårbarheder mere effektivt.
IAST-karakteristika inkluderer:
- IAST-værktøjer fungerer ved at tilføje sensorer eller overvågningskomponenter inde i applikationen, mens den kører. Disse værktøjer overvåger, hvordan appen opfører sig under testning, uanset om testene er automatiserede eller udført af mennesker. Denne tilgang lader IAST kontrollere kodeudførelse, brugerinput og hvordan appen håndterer data i realtid.
- IAST scanner ikke automatisk hele kodebasen; dens dækning bestemmes af bredden af applikationen, der testes under testene. Jo mere omfattende testaktiviteten er, desto dybere er sårbarhedsdækningen.
- IAST implementeres typisk i QA- eller staging-miljøer, hvor automatiserede eller manuelle funktionelle tests køres.
Hvorfor IAST er vigtigt i cybersikkerhed
SAST analyserer kildekode, bytekode eller binære filer uden at køre applikationen og er meget effektiv til at afsløre kodningsfejl, men det kan producere falske positiver og overse runtime-specifikke problemer.
DAST tester applikationer udefra, mens de kører, og kan afsløre problemer, der kun opstår ved runtime, men mangler dyb indsigt i intern logik eller kodens struktur. IAST bygger bro ved at kombinere styrkerne fra disse teknikker og tilbyder:
- Dybere indsigt i sårbarhedskilder og -veje.
- Forbedret detektionsnøjagtighed sammenlignet med SAST eller DAST alene.
- Reduktion af falske positiver ved at korrelere runtime-aktivitet med kodeanalyse.
Hvordan IAST fungerer
- Instrumentering: IAST bruger instrumentering, hvilket betyder, at sensorer eller overvågningskode er indlejret i applikationen (ofte i et QA- eller staging-miljø) for at observere dens adfærd under testning.
- Overvågning: Det observerer dataflow, brugerinput og kodeadfærd i realtid, mens applikationen testes eller bruges manuelt.
- Detektion: Det markerer sårbarheder som usikker konfiguration, usanitiserede dataflows eller injektionsrisici.
- Rapportering: Handlingsrettede fund og vejledning til afhjælpning gives til udviklere for at adressere de opdagede problemer.
Eksempel
Under funktionel test interagerer QA-teamet med login-formularen. IAST-værktøjet opdager, at brugerinput flyder ind i en databaseforespørgsel uden sanitering, hvilket indikerer en potentiel SQL-injektion risiko. Teamet modtager en sårbarhedsrapport og handlingsrettede trin til at løse sikkerhedsproblemerne.