一、前言
攜程信息安全部門目前在研究百度OpenRASP技術,讓它在攜程落地進行服務漏洞掃描防護。做安全漏洞測試的同學都知道,用類似黑盒測試工具測試服務漏洞的時候,在測試服務接口的請求上做參數注入的修改,會污染測試服務的數據源,OpenRASP技術也不例外。
本文主要講述我們IAST漏洞掃描系統中OpenRASP在攜程快速部署及如何防止流量重放對數據污染的一系列實踐經驗。讓業務部門無感知地發現他們的服務在測試環境中暴露的漏洞。
這裏先簡單介紹下什麼是IAST,DAST和RASP。
IAST:Interactive Application Security Testing,交互式應用安全測試。近實時檢測、誤報率極低、可定位到代碼行數、展示污點調用過程等等,非常適用於敏捷開發和DevOps理念。可以在軟件的開發和測試階段無縫集成現有開發流程,讓開發人員和測試人員在執行功能測試的同時,無感知的完成安全測試,解決了現有應用安全測試技術面臨的挑戰。我們該套IAST產品中也會盡力體現污點調用過程,偏向代碼層。
DAST:Dynamic Application Security Testing,動態應用程序安全測試。在測試或運行階段分析應用程序的動態運行狀態。它模擬黑客行爲對應用程序進行動態攻擊,分析應用程序的反應,從而確定該Web應用是否易受攻擊。這種技術主要採用滲透測試,發現應用系統的潛在風險。
原文鏈接:【https://www.infoq.cn/article/Fb4q6drDwN6xICAS41ww】。未經作者許可,禁止轉載。