産品概述
交互式安全檢測平台
支持對(duì)Java、PHP、Python、.NET、Golang、Node.js、NET Core等7種語言的(de)應用(yòng)程序有(yǒu)效檢測出代碼層漏洞、WEB應用(yòng)漏洞和(hé)基于實際業(yè)務場(chǎng)景的(de)邏輯漏洞,如(rú):弱加密、代碼中存在硬編碼密碼、SQL注入、命令注入、目錄遍曆、不(bù)安≤全的(de)反序列化(huà)、JAVA反射注入、LDAP注入、跨站(zhàn)請(qǐng)求僞造、EL表達式注入、NoSQL注入,反序列化(huà)、越權、短(duǎn)信轟炸、敏感信息洩漏等70餘種漏洞類别,覆蓋了(le)OWASP Top 10、CWE/SANS Top 25、PCI-DSS、GDPR在內(nèi)的(de)主要(yào)漏洞類型,并根據這(z®hè)些(xiē)标準對(duì)應用(yòng)系統的(de)漏洞情況進行(xíng)分(fēn)類統計(jì)。
除了(le)上(shàng)述70餘種漏洞外(wài),IAST平台也(yě)支持自(zì)定義漏洞檢測規則,用(yòng)戶可(kě)針對(duì)自(zì)身(shēn)系統的(de)特殊漏洞進行(xíng)規則自(zì)定義,如(rú)自(zì)定義檢測的(de)漏洞名稱、危害等級、漏洞風(fēng)險、修複建議(yì)、不(bù)安全>代碼示例、安全代碼示例、參考鏈接等內(nèi)容,并根據實際業(yè)務風(fēng)險進行(xíng)Hook點補充,防止漏洞漏報(bào)。
對(duì)于檢出的(de)漏洞給出詳細漏洞細節,幫助開(kāi)發人(rén)員(yuán)直接定位到(dào)代碼內(nèi)容及代碼位置,并借助圖表形象地(dì)展示漏洞傳播的(de)各個(gè)階段,并基于漏洞檢測過程,輸出包含來(lái)源參數(shù)、傳播途徑、漏洞代碼片段和(hé)HTTP信息等內(nèi)容的(de)詳細結果,并給出修複建議(yì)與相(xiàng)關代碼示例,有(yǒu)助于用(yòng)戶對(duì)系統檢測出的(de)漏洞進行(xíng)手動重現(xiàn),幫助用(yòng)戶快(kuài)速進行(xíng)漏洞定位及修複。同時(shí)支→持對(duì)全鏈路(lù)污點傳播過程追蹤,支持SpringCloud、Dubbo、gRPC等微(wēi)服務框架全鏈路(lù)污點傳播過程追蹤及漏洞檢測。
産品特色
➢安全左移降低(dī)漏洞修複成本
IAST将安全檢測嵌入軟件(jiàn)開(kāi)發的(de)功能(néng)測試階段,測試人(rén)員(yuán)隻要(yào)進行(xíng)正常的(de)功能(néng)測試,系統就(jiù)會(huì)做(zuò)到(dào)自(zì)動化(huà)安全檢測,不(bù)會(huì)對(duì)測試工(gōng)作(zuò)産生(shēng)任何的(de)影(y↓ǐng)響,真正做(zuò)到(dào)無感知(zhī)。在測試階段發現(xiàn)安全缺陷後立即修複,并進行(xíng)漏洞主動驗證,檢測該漏洞是(shì)否修複成功,減少(shǎo)漏洞帶病上(shàng)線的(de)風(fēng)險,能(néng)夠有(yǒu)效降低(dī)漏洞的(de)修複成本。
➢全面精确的(de)應用(yòng)漏洞檢測及定位
IAST技(jì)術(shù)融合了(le)SAST、DAST優勢,通(tōng)過插樁的(de)形式,将Agent部署到(dào)應用(yòng)程序當中,利用(yòng)智能(néng)動态污點跟蹤技(jì)術(shù),通(tōng)過對(duì)外(wài)部數(shù)據打上(shàng)污點标簽,跟蹤外(wài)部數(shù)據在內(nèi)部的(de)傳輸過程的(de)形式,判斷其是(shì)否經過風(fēng)險函數(shù)進而進行(xíng)漏洞檢測,整個(gè)過程無髒數(shù)據産生(shēng),通(tōng)過精準運營可(kě)做(zuò)到(dào)近(jìn)乎0誤報(bào),并且支持加密、驗簽及一(yī)次性接口場(chǎng)景。
➢開(kāi)源組件(jiàn)漏洞檢測與許可(kě)分(fēn)析
應用(yòng)程序在運行(xíng)時(shí)基于插樁Agent,收集應用(yòng)程序的(de)運行(xíng)時(shí)信息,分(fēn)析獲取項目中引入的(de)第三方組件(jiàn)成分(fēn)。将檢測到(dào)的(de)組件(jiàn)版本與已知(zhī)的(de)開(kāi)源漏洞數(shù)據庫(如(rú)CVE、CNVD、CNNVD)進行(xíng)對(duì)比,識别組件(jiàn)漏洞和(hé)風(fēng)險許可(kě)。幫助企業(yè)管理(lǐ)組件(jiàn)安全性與許可(kě)證相(xiàng)關的(de)風(fēng)險,确保軟件(jiàn)中嵌入的(de)任何開(kāi)源組件(jiàn)都(dōu)符合标準,避免引入存在已知(zhī)漏洞≥的(de)組件(jiàn)而導緻的(de)數(shù)據洩露、知(zhī)識産權受損或引起法律糾紛的(de)風(fēng)險,保障交付更安全的(de)軟件(jiàn)。
➢流水(shuǐ)線/平台集成能(néng)力
IAST無縫融入DevOps流程可(kě)以将安全性作(zuò)為(wèi)開(kāi)發和(hé)部署的(de)關鍵要(yào)素之一(yī)。通(tōng)過持續的(de)安全測試☆和(hé)集成,可(kě)以确保應用(yòng)程序在每個(gè)開(kāi)發和(hé)部署階段都(dōu)經過嚴格的↓(de)安全檢查。這(zhè)有(yǒu)助于減少(shǎo)潛在的(de)安全漏洞,并提高(gāo)應用(yòng)程序的(de)整體(tǐ)安全性。
IAST提供Jenkins等集成插件(jiàn),能(néng)夠與持續集成、持續交付、持續部署等CI/CD平台集成,作(zuò)為(wèi)自(zì)動化(huà)安全測試的(de)一(yī)部分(fēn)。在代碼構建©和(hé)部署的(de)過程中,IAST可(kě)以自(zì)動執行(xíng)安全測試,檢測應用(yòng)程序中的(de)安全漏洞,并生(shēng)成相(xiàng)應的(de)報(bào)告。一δ(yī)旦IAST檢測到(dào)漏洞,可(kě)以立即通(tōng)知(zhī)開(kāi)發團隊,并在CI/CD流程中自(zì)動觸發修複流程。同時(shí)IAST支持與jira、禅道(dào)等內(nèi)部問(wèn)題管理(lǐ)平台集成,将漏洞信息上(shàng)報(bào)到(dào)企業(yè)內(nèi)部平台進行(xíng)管理(lǐ)與運營,也(yě)可(kě)以通(tōng)過調用(yòng)開(kāi)放(fàng)的(de)API接口進行(xíng)第三方集成,在不(bù)影(yǐng)響原有(yǒu)的(de)業(yè)務流程情況下(xià)實現(xiàn)安全的(de)融入,提升安全效率。
➢靈活的(de)檢測規則及漏洞運營策略
IAST支持配置靈活的(de)檢測策略,支持添加自(zì)定義Hook點來(lái)覆蓋更多(duō)業(yè)務場(chǎng)景,支持增加自(zì)定義安全過濾函數(shù)、支持根據URL、輸入參數(shù)、應用(yòng)軟件(jiàn)包等內(nèi)容添加排除規則,支持配置邏輯漏洞檢測規則覆蓋更多(duō)業(yè)務場(chǎng)景。通(tōng)過以上(shàng)靈活的(de)規則策略可(kě)以防止漏洞誤報(bào)漏報(bào),并且覆蓋更全面的(de)檢測場(chǎng)景,提升IAST檢測能(néng)力。
