Czym jest IAST (Interactive Application Security Testing)?
Interactive Application Security Testing (IAST) to metoda, która łączy Statyczne Testowanie Bezpieczeństwa Aplikacji (SAST) i Dynamiczne Testowanie Bezpieczeństwa Aplikacji (DAST), aby skuteczniej znajdować podatności aplikacji.
Charakterystyka IAST obejmuje:
- Narzędzia IAST działają poprzez dodawanie czujników lub komponentów monitorujących wewnątrz aplikacji podczas jej działania. Te narzędzia obserwują, jak aplikacja zachowuje się podczas testów, niezależnie od tego, czy testy są zautomatyzowane, czy wykonywane przez ludzi. Takie podejście pozwala IAST sprawdzać wykonanie kodu, dane wejściowe użytkownika i sposób, w jaki aplikacja przetwarza dane w czasie rzeczywistym.
- IAST nie skanuje automatycznie całej bazy kodu; jego zasięg jest określany przez zakres aplikacji testowanej podczas testów. Im bardziej rozbudowana aktywność testowa, tym głębsze pokrycie podatności.
- IAST jest zazwyczaj wdrażany w środowiskach QA lub staging, gdzie przeprowadzane są zautomatyzowane lub manualne testy funkcjonalne.
Dlaczego IAST ma znaczenie w cyberbezpieczeństwie
SAST analizuje kod źródłowy, bajtkod lub pliki binarne bez uruchamiania aplikacji i jest bardzo skuteczny w wykrywaniu błędów w kodowaniu, ale może generować fałszywe alarmy i pomijać problemy specyficzne dla czasu wykonania.
DAST testuje aplikacje z zewnątrz podczas ich działania i może ujawniać problemy, które pojawiają się tylko w czasie wykonania, ale brakuje mu głębokiej widoczności wewnętrznej logiki lub struktury kodu. IAST wypełnia tę lukę, łącząc mocne strony tych technik, oferując:
- Głębsze wglądy w źródła i ścieżki podatności.
- Zwiększoną dokładność wykrywania w porównaniu do samego SAST lub DAST.
- Redukcję fałszywych alarmów poprzez korelację aktywności w czasie wykonania z analizą kodu.
Jak działa IAST
- Instrumentacja: IAST wykorzystuje instrumentację, co oznacza, że czujniki lub kod monitorujący są osadzane w aplikacji (często w środowisku QA lub staging), aby obserwować jej zachowanie podczas testowania.
- Monitorowanie: Obserwuje przepływ danych, dane wejściowe użytkownika i zachowanie kodu w czasie rzeczywistym, gdy aplikacja jest testowana lub używana ręcznie.
- Wykrywanie: Oznacza podatności takie jak niebezpieczna konfiguracja, niesanitowane przepływy danych lub ryzyko wstrzyknięcia.
- Raportowanie: Dostarczane są praktyczne wyniki i wskazówki dotyczące naprawy, aby programiści mogli rozwiązać wykryte problemy.
Przykład
Podczas testów funkcjonalnych zespół QA wchodzi w interakcję z formularzem logowania. Narzędzie IAST wykrywa, że dane wejściowe użytkownika trafiają do zapytania do bazy danych bez sanitacji, co wskazuje na potencjalne ryzyko wstrzyknięcia SQL. Zespół otrzymuje raport o podatności i praktyczne kroki do naprawy problemów z bezpieczeństwem.