2021年7月,默安科技成为Gartner应用安全技术成熟度曲线中IAST技术的代表厂商,是亚太地区唯一一家入选的开发安全企业。
近期,默安科技·雳鉴IAST的产品和研发大佬又更新了一些新功能,解决了很多金融、互联网、高端制造行业的IAST应用痛点。看看这些难题是不是你也遇到了?
# 都说API是黑产重点攻击目标,我们应用软件里的大量API却是安全检测的盲区?#
API虽然不为大众熟知,却是技术、开发眼里的“必需品”,是连接用户前台与后台服务的关键桥梁,这些“桥梁”的安全问题容易被不法分子发现和恶意利用,可能导致严重的数据泄露,甚至危害整个组织的数字化体系。
默安科技自研的交互式应用安全检测系统·雳鉴IAST已在API安全领域作了以下积累:
01 “连我有哪些API都不知道,何谈API保护?”雳鉴IAST能够做到对目标应用的已知和未知API进行全量发现并创建完整的API目录。
02 此外,在最近的版本更新中,雳鉴IAST已支持检测API未授权访问漏洞。
“未授权访问漏洞是指需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露的问题。”据统计,2018-2020年期间,全球API未授权访问攻击达1000亿次,造成2280万美元的经济损失。可以说未授权访问是所有API安全风险中危害最大的类型之一。
在应用开发阶段即自动发现所有API并检测API安全风险是雳鉴IAST的重要价值之一,API不再是安全测试的盲区。
# 安全测试带来的脏数据,常规功能测试表示很受伤 #
黑盒测试和IAST的主动插桩模式都是基于发送payload、重放流量的检测原理,检测过程中不可避免地给被测应用造成数据污染。大量脏数据不但会占用服务器端资源,影响被测服务器性能,同时应用数据库中的大量垃圾数据也会严重影响服务的正常测试流程与进度。
一个小小的脏数据问题有可能拖慢整个开发进度,影响开发团队引入安全工具和流程的信心,最终导致完整开发安全体系或DevSecOps建设项目流产。默安科技给出两个解决方案:
01 雳鉴IAST的被动插桩模式下,基于污点传播跟踪的原理进行漏洞检测,本身不会产生脏数据。
02 在雳鉴IAST最近的版本更新中,IAST主动插桩借助运行在应用内部的Agent探针监测应用处理流程,精准识别重放流量时所产生的大量脏数据并进行拦截,保证安全测试的临时数据不落地、不入库,避免影响功能测试,做到业务先行。
默安科技的开发安全体系,乃至全线产品和方案,都讲究可落地性以及带给客户的实际安全及业务价值。尽管IAST被动插桩模式的应用场景相对更加广泛,但主动插桩也具备独特的技术优势,例如相比SAST误报率更低,相比DAST能够精确定位漏洞所在的代码行,同时便于在漏洞修复完成后进行全面的回归测试和修复验证等等。雳鉴IAST主动插桩已攻克脏数据这一技术难题,帮助客户更好地实现IAST主动插桩工具的运营与落地,推动安全开发全生命周期的顺利建设。
默安IAST的最新版本通过调研大量行业客户的普遍痛点,从安全和业务两个角度,解决了API未授权访问的检测和主动插桩中脏数据拦截两大技术难题,在提高安全测试覆盖度的同时,保证工具与方案在功能细节上的切实可落地。雳鉴IAST目前已在政府、央企、银行、保险、证券、制造、房产、互联网等多个行业成功应用。
来源:杭州默安科技
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!