Co to jest IAST (Interactive Application Security Testing)?
Interactive Application Security Testing (IAST) to metoda, która łączy Statyczne Testowanie Bezpieczeństwa Aplikacji (SAST) i Dynamiczne Testowanie Bezpieczeństwa Aplikacji (DAST), aby skuteczniej wykrywać podatności aplikacji.
Charakterystyka IAST obejmuje:
- Narzędzia IAST działają poprzez dodawanie czujników lub komponentów monitorujących wewnątrz aplikacji podczas jej działania. Te narzędzia obserwują, jak aplikacja zachowuje się podczas testów, niezależnie od tego, czy testy są zautomatyzowane, czy przeprowadzane przez ludzi. Takie podejście pozwala IAST na sprawdzanie wykonywania kodu, danych wejściowych użytkownika oraz sposobu, w jaki aplikacja przetwarza dane w czasie rzeczywistym.
- IAST nie skanuje automatycznie całej bazy kodu; jego pokrycie zależy od zakresu aplikacji testowanej podczas testów. Im bardziej rozbudowana aktywność testowa, tym głębsze pokrycie podatności.
- IAST jest zazwyczaj wdrażany w środowiskach QA lub staging, gdzie przeprowadzane są zautomatyzowane lub manualne testy funkcjonalne.
Dlaczego IAST ma znaczenie w cyberbezpieczeństwie
SAST analizuje kod źródłowy, bajtkod lub binaria bez uruchamiania aplikacji i jest bardzo skuteczny w wykrywaniu błędów kodowania, ale może generować fałszywe alarmy i pomijać problemy specyficzne dla czasu wykonania.
DAST testuje aplikacje z zewnątrz podczas ich działania i może ujawniać problemy, które pojawiają się tylko w czasie wykonywania, ale brakuje mu głębokiej widoczności wewnętrznej logiki lub struktury kodu. IAST wypełnia tę lukę, łącząc mocne strony tych technik, zapewniając:
- Głębsze wglądy w źródła i ścieżki podatności.
- Zwiększoną dokładność wykrywania w porównaniu do samego SAST lub DAST.
- Redukcję fałszywych alarmów poprzez korelację aktywności w czasie rzeczywistym z analizą kodu.
Jak działa IAST
- Instrumentacja: IAST wykorzystuje instrumentację, co oznacza, że czujniki lub kod monitorujący są osadzane w aplikacji (często w środowisku QA lub staging), aby obserwować jej zachowanie podczas testowania.
- Monitorowanie: Obserwuje przepływ danych, dane wejściowe użytkownika i zachowanie kodu w czasie rzeczywistym, gdy aplikacja jest testowana lub poddawana działaniom manualnym.
- Wykrywanie: Oznacza podatności takie jak niebezpieczna konfiguracja, niesanitowane przepływy danych lub ryzyko wstrzyknięcia.
- Raportowanie: Dostarczane są możliwe do podjęcia ustalenia i wskazówki dotyczące naprawy, aby deweloperzy mogli rozwiązać wykryte problemy.
Przykład
Podczas testów funkcjonalnych zespół QA wchodzi w interakcję z formularzem logowania. Narzędzie IAST wykrywa, że dane wejściowe użytkownika przepływają do zapytania do bazy danych bez sanitacji, co wskazuje na potencjalne ryzyko wstrzyknięcia SQL. Zespół otrzymuje raport o podatności i możliwe do podjęcia kroki w celu naprawy problemów z bezpieczeństwem.