雳鉴IAST交互式应用安全检测系统-产品介绍

默安科技雳鉴IAST系统是默安科技自主知识产权的安全产品，雳鉴 IAST 使用基于请求和基于代码数据流两种技术的融合架构，采用被 Gartner 评为十大信息安全技术之一的 IAST 技术，融合了SAST和DAST的优点，能够做到检出率极高，误报率极低，同时可定位到API接口和代码片段，在测试阶段无缝集成，既可高准确性的检测应用自身安全风险，也可检测第三方组件及其漏洞，实时告警响应，对安全漏洞的准确定位，为客户系统上线前做到强有力的安全保障。

 2.1产品组成与结构

 雳鉴IAST是一款在业务上线前应用的安全测试工具。用户只需在雳鉴IAST的管理界面配置需要检测的项目，雳鉴IAST会通过多种流量收集方式，将请求流量数据或代码数据流信息复制到存储中心，检测集群自动全面的检测存储中心存储的请求流量数据，并快速生成漏洞报表，提供专业修复方案。雳鉴主要包括项目管理模块、漏洞管理模块、漏洞检测模块、流量及插桩收集模块、软件成分分析模块、系统管理模块，第三方插件等模块组成。

 2.1.1项目管理模块

 项目管理模块可以对每个项目进行隔离，支持安全软件开发流程管理，包括单个项目的整体安全情况，保证产品上线前的安全质量，关注安全漏洞的收敛情况，同时可反映产品迭代过程中安全问题的爆发和修复趋势。

 2.1.2漏洞管理模块

 漏洞管理模块提供对漏洞生命周期的全流程管理，包括漏洞的自动发现，漏洞详情，漏洞分享，漏洞演示及编辑、漏洞重新检测、漏洞数据分析可视化呈现。

 2.1.3插桩收集模块

 雳鉴IAST插桩收集模块为被动式安全测试（Passive IAST）技术和主动式安全测试（Active IAST）技术联动检测。目前支持Java、Golang、.NET framework、.NET core、Node.js、Python和PHP七种代码语言。

 2.1.4流量收集模块

 2.1.4.1代理模块

 代理模块主要功能包括移动端代理、PC端代理以及两种模式接入HTTP和HTTPS流量进行安全检测，PC端代理支持浏览器插件设置代理，通过一键挂/取消代理带来便捷，移动端通过网络设置或者默安科技提供的第三方软件，接入HTTP和HTTPS流量进行安全测试。对用户来说完全透明，开发测试人员挂代理之后，只需要正常进行功能测试，雳鉴代理模块抓取流量自动进行安全测试。

 2.1.4.2 VPN模块

 VPN模块主要针对移动端安全测试的流量接入，移动端通过自带的VPN功能，将VPN拨到雳鉴的IP上即可接入HTTP和HTTPS流量，同时也可自行安装第三方VPN软件来简化操作。对用户来说完全透明，开发测试人员拨VPN之后，只需要正常进行功能测试，雳鉴代理模块抓取流量自动进行安全测试。

 2.1.4.3 流量信使模块

 流量信使模块主要针对PC端和移动端测试环境复杂的情况下，通过将默安科技提供的流量收集Agent部署到业务服务器上，通过嗅探的方式获取HTTP流量进行安全检测。真正做到对测试人员完全无感知，去除额外配置工作，完全不改变测试人员工作流程。

 2.1.4.4 流量 镜像 模块

 流量镜像模块主要针对测试机器数量很多的情况下，对测试环境交换机流量镜像进行接入，将位于交换机源端口的数据流量转发到位于雳鉴机器的镜像端口，雳鉴机器再对HTTP请求还原进行安全检测。真正做到对测试人员完全无感知，完全不改变测试人员工作流程。

 2.1.4.5 日志导入模块

 日志导入模块主要针对企业有自建完善的日志平台，记录了完整的WEB日志的情况下，雳鉴可以提供日志导入接口，企业通过将日志平台中的日志，按照约定的格式，导入到雳鉴的Kafka接口即可， 日志分析 模块会提取日志中的Header头，Cookie，User-Agent，Body等元素，基于HTTP协议将日志进行重组，还原出原始请求来进行安全测试。通过将日志平台中记录的丰富的访问日志，功能测试日志，用户行为日志等转换为安全测试请求，可达到接口最大覆盖面，优化扫描效果。

 2.1.5漏洞检测模块

 漏洞检测模块可支持SQL注入，XSS，个人隐私泄露等百余种常见通用漏洞检测，同时支持700多种第三方组件漏洞检测。同时可对录入的请求COOKIE有效性进行自动判断，对于过期的登录凭据进行替换，保证安全测试的有效性，全面覆盖高中低危常见漏洞，支持逻辑漏洞检测，包括水平越权漏洞、垂直越权漏洞、验证码相关漏洞、用户枚举漏洞等，通过对流量的权限进行区分，将用户录入的请求分为不同的权限等级，标记权限后开始自动进行逻辑漏洞检测。漏洞检测模块同时支持常见第三方框架和组件的安全测试，支持对WEB和APP服务端进行安全测试。

 2.1.6软件成分分析模块

 雳鉴IAST软件成分分析模块基于插桩Agent，分析获取项目中所有引用到的第三方组件，将软件成分数据回传到服务端，软件成分风险分析引擎，对第三方组件的版本风险，安全漏洞分析， 开源 许可证风险进行评估，并可视化展示。

 2.1.7镜像扫描模块

 雳鉴IAST镜像扫描模块支持新建镜像仓库地址对仓库进行扫描，支持harbor api V1.x、harborapiV2.x、jfrog apiV2.x等多种API版本。支持与jenkins进行相互配合，可在jenkins构建镜像、pipeline过程中进行镜像安全扫描。

 2.1.8第三方集成模块

 2.1.8.1 Jenkins集成

 Jenkins是当今使用最常用的开源持续集成（CI）工具之一，用于DevOps流程中，开发团队可以使用Jenkins完成整个 自动化 管理构建过程。雳鉴IAST提供Jenkins插件与Jenkins CI项目集成，在DveOps流程中加入安全测试，形成DevSecOps方案。雳鉴IAST通过与Jenkins pipeline工作流框架的集成，将自动化安全测试融入到pipeline测试流程中，实现DevSecOps目标。

 2.1.8.2 JIRA集成

 JIRA是当前企业常用的bug管理平台，雳鉴IAST支持JIRA的一键同步，即可将雳鉴IAST发现的漏洞一键导入到JIRA平台，实现漏洞持续跟踪管理，将漏洞跟踪与企业工作流对接，形成漏洞闭环管理。

 2.1.8.3禅道集成

 禅道是是第一款国产的开源项目管理软件，雳鉴IAST支持禅道的一键同步，即可将雳鉴IAST发现的漏洞一键导入到禅道平台，实现漏洞持续跟踪管理，将漏洞跟踪与企业工作流对接，形成漏洞闭环管理。

 2.1.9储存模块

 雳鉴IAST存储中心主要负责存储用户配置的项目中所有的请求流量数据和漏洞检测结果等数据。所有经由代理、VPN、Web日志、流量信使Agent、流量镜像、插桩Agent等收集到的任务请求流量和代码数据流信息，经过有效处理后被保存至存储中心。同时，扫描引擎对请求进行检测的过程中所产生的临时数据也保存在存储中心，用于保存扫描状态。

 2.1.10系统管理模块

 系统管理模块包括账号管理、报表管理、黑白名单管理、日志审计、系统监测及配置、网络检测、系统升级，邮件通知、规则列表、漏洞类型、自定义设置、帮助中心等功能。