悬镜灵脉IAST灰盒WEB安全测试平台-

使用灰盒技术（IAST）解决问题：

（1）灰盒技术（IAST）检测技术原理

IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术，曾被Gartner咨询公司列为网络安全领域的年度Top 10 技术之一。灰盒技术（IAST）融合了黑盒和白盒的优势，拥有极高的漏洞检出率和极低的漏洞误报率，同时可以定位到 API 接口和代码片段。

灰盒检测技术需要在被测试应用程序中部署插桩探针，在特定的位置插入探针，在应用程序运行时，通过探针获取请求、代码数据流、代码控制流等，基于请求、代码、数据流、控制流综合分析判断漏洞。
第一步：被测试服务器中安装 IAST 插桩探针；
第二步：测试人员执行功能测试或使用 自动化 测试工具测试应用软件，插桩探针在应用程序运行时获取请求和代码数据流、代码控制流，进行动态污点追踪；
第三步：当定位到具体漏洞信息，插桩探针将获取的信息发送给管理控制台，控制台展示应用安全测试结果。

（2）发现未知漏洞

持续爆出多个严重漏洞的log4j组件，对应用安全造成了巨大冲击，然而这些严重的漏洞通过防火墙规则配置无法防御，只能通过组件升级、修改组件配置，甚至重新修改组件代码来达到防御目的，导致大量的人力、物力额外投入。

使用灰盒技术是可以提前发现此类未知漏洞。灰盒插桩探针在收集到应用的输入信息、数据流信息、输出信息后，可以判断输入或输出存在未经安全校验的风险，在安全测试时就给予提醒，防止应用系统出现不安全的行为。

（3）更多的问题信息有助于解决问题

越多的漏洞信息，越有助于解决漏洞。相较于传统白盒、黑盒检测技术，灰盒技术通过插桩探针，在应用系统运行时，获取请求、代码数据流、代码控制流等信息，较为全面的展示漏洞信息，帮助开发者解决问题。

（4）在测试阶段无感安全检查

使用灰盒检测技术，可以“默默无声”完成安全检测。通常情况下，由于项目时间紧，开发压力大，而传统的白盒、黑盒测试效率低，项目组普遍对安全存在抵触心理，使得安全工作难以开展。

一般性估算，白盒扫描及黑盒扫描时间较长且与使用者安全能力存在较强的关联性，容易占用过多的项目时间。而灰盒检测，使用插桩探针技术，运行在应用系统内部，测试人员完成功能，安全检测即可同步完成，实现安全测试“无感知”，减少对项目组开发测试的干扰，使得安全保障工作顺利推进。

（5）与敏捷开发融合（快速发版，也能保障安全）

敏捷开发下，快速的版本迭代更新，使得传统的安全工具（如：白盒工具、黑盒工具）没有时间去完成检测，导致应用系统“带病”上线。

灰盒检测可以在功能测试完成的同时，同步完成安全测试，在功能测试阶段同步输出安全测试报告，无缝嵌入到功能测试阶段，不独立占用项目阶段。因此，使用灰盒技术，可以紧跟开发测试的脚步，即使是小版本也能保障安全工作顺利推进。

悬镜IAST产品优势：

（1）悬镜IAST支持大部分常见漏洞类型检测

悬镜IAST具备较高的成熟度，支持大部分常见漏洞类型检测，如SQL注入、命令行执行、任意文件上传等。

（2）悬镜IAST支持常用开发编码语言

悬镜IAST在深度支持JAVA语言后，已经全面支持其他常用的开发语言，如PHP、GO、NodeJS、Python、.Net语言，并已经过大量实践，具备较高的稳定性。

（3）悬镜IAST支持常用中间件及国产中间件

悬镜IAST支持目前常用的中间件，如Tomcat、Jetty等，同时也支持国产中间件，如东方通、宝兰德。

（4）悬镜IAST支持常用开发框架，很好支持微服务架构

针对开发常见的框架，悬镜IAST做了深度兼容。对于企业常用的微服务架构，悬镜IAST已全面支持RPC框架。

（5）悬镜IAST支持应用软件API发现能力，有易于分析暴露面

通过静态文件解析，IAST可将业务功能模块的接口进行梳理，一目了然展示应用软件内部接口情况，让应用软件“充分暴露”，而且通过统计接口覆盖率，可降低因测试不足导致的漏报率。

（6）悬镜IAST提供更高的漏洞发现准确度（主动插桩模式）

降低漏洞误报，是安全工作的重要一环。悬镜IAST主动插桩模式，不停留在发现问题，而是更进一步通过自动下发payload进行问题可利用性评估，帮助安全人员、研发人员复现漏洞，判断是否是漏洞，提升漏洞准确度，大幅度减少漏洞确认的工作量。更进一步，悬镜IAST通过Agent拦截因payload而可能产生的脏数据写入 数据库 ，不扰乱功能测试数据，功能测试人员更易接受。在降低误报的同时，更有利于工具落地实施。

（7）悬镜IAST支持漏洞闭环管理（发现漏洞及修复验证）

发现漏洞后，更重要的是修复及修复验证，以闭环管理漏洞。悬镜IAST提供漏洞从发现到修复的全生命周期管理，漏洞发现后可及时跟踪，漏洞修复后，可执行回归测试，验证漏洞修复情况。

（8）悬镜IAST 插桩探针支持性能熔断（保障应用稳定性）

插桩探针支持性能熔断（单点/全局配置），保证在进行压测或并发测试时减少探针对业务的影响。

（9）悬镜IAST 插桩探针提供一种便捷的部署方式（动态加载安装）

常规的插桩探针安装，需要中间件重启后，才能生效。对于不便于重启的业务系统，或者想在不改变中间件配置的情况下，通过自动化脚本大规模部署，则可以通过动态加载的方式将插桩探针挂载到中间件进程上，检测效果与常规安装一致。

（10）悬镜IAST 插桩探针提供测试脏数据阻断能力

传统黑盒/流量型的检测会对业务系统造成脏数据污染，而悬镜IAST的插桩探针可以对产生脏数据的请求在执行点进行hook，从而实现阻断的功能。

（11）支持敏感信息泄露检测

保护敏感信息是 数据安全 法、个保法的要求，同时也是等级保护的要求。与传统数据库审计产品不同，使用悬镜IAST可以发现应用系统层面的敏感信息泄露问题。插桩探针通过对应用系统相关函数的hook与信息匹配，可以实现对响应内容、日志、输出等位置的敏感信息检测，并支持正则的方式自定义规则。

（12）融合第三方 开源 组件检测能力

在解决常规漏洞的同时，一并识别第三方开源组件的安全风险，包括发现有漏洞的组件、有法律风险的组件（如：引入了不允许商用的组件）。

（13）以流量检测作为补充

当一些应用无法安装IAST插桩探针时，可以使用流量检测功能，完成安全测试。

（14）原生架构支持高可用高并发

悬镜IAST在设计之初就以满足高可用、高并发支持作为目标。数据展示端、引擎管理端均支持分布式部署。