Was ist IAST (Interactive Application Security Testing)?
Interactive Application Security Testing (IAST) ist eine Methode, die Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) kombiniert, um Anwendungs-Schwachstellen effektiver zu finden.
Die IAST-Eigenschaften umfassen:
- IAST-Tools arbeiten, indem sie Sensoren oder Überwachungskomponenten innerhalb der Anwendung hinzufügen, während sie läuft. Diese Tools beobachten, wie sich die App während des Testens verhält, unabhängig davon, ob die Tests automatisiert oder manuell durchgeführt werden. Dieser Ansatz ermöglicht es IAST, die Codeausführung, Benutzereingaben und die Datenverarbeitung der App in Echtzeit zu überprüfen.
- IAST scannt nicht automatisch den gesamten Codebestand; seine Abdeckung wird durch den Umfang der Anwendung bestimmt, die während der Tests genutzt wird. Je umfangreicher die Testaktivitäten, desto tiefer die Schwachstellenabdeckung.
- IAST wird typischerweise in QA- oder Staging-Umgebungen eingesetzt, in denen automatisierte oder manuelle Funktionstests durchgeführt werden.
Warum IAST in der Cybersicherheit wichtig ist
SAST analysiert Quellcode, Bytecode oder Binärdateien, ohne die Anwendung auszuführen, und ist sehr effektiv beim Aufdecken von Codierungsfehlern, kann jedoch falsche Positivmeldungen erzeugen und laufzeitspezifische Probleme übersehen.
DAST testet Anwendungen von außen, während sie laufen, und kann Probleme aufdecken, die nur zur Laufzeit auftreten, bietet jedoch keine tiefen Einblicke in die interne Logik oder Code-Struktur. IAST überbrückt die Lücke, indem es die Stärken dieser Techniken kombiniert und bietet:
- Tiefere Einblicke in die Quellen und Pfade von Schwachstellen.
- Verbesserte Erkennungsgenauigkeit im Vergleich zu SAST oder DAST allein.
- Reduzierung von Fehlalarmen durch die Korrelation von Laufzeitaktivitäten mit Codeanalysen.
Wie IAST funktioniert
- Instrumentierung: IAST verwendet Instrumentierung, das heißt, Sensoren oder Überwachungscode werden in die Anwendung eingebettet (oft in einer QA- oder Staging-Umgebung), um ihr Verhalten während des Tests zu beobachten.
- Überwachung: Es beobachtet den Datenfluss, Benutzereingaben und das Codeverhalten in Echtzeit, während die Anwendung durch Tests oder manuelle Aktionen ausgeübt wird.
- Erkennung: Es kennzeichnet Schwachstellen wie unsichere Konfigurationen, unsanitisierte Datenflüsse oder Injektionsrisiken.
- Berichterstattung: Umsetzbare Ergebnisse und Anleitung zur Behebung werden den Entwicklern zur Verfügung gestellt, um die erkannten Probleme zu beheben.
Beispiel
Während des Funktionstests interagiert das QA-Team mit dem Anmeldeformular. Das IAST-Tool erkennt, dass Benutzereingaben in eine Datenbankabfrage fließen, ohne sanitisiert zu werden, was auf ein potenzielles SQL-Injection-Risiko hinweist. Das Team erhält einen Schwachstellenbericht und umsetzbare Schritte zur Behebung der Sicherheitsprobleme.