[[402419]]

本文轉(zhuǎn)載自微信公眾號「Bypass」，作者Bypass 。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。

近年來，IAST作為一種新的應(yīng)用安全測試技術(shù)，受到廣泛的關(guān)注，慢慢出現(xiàn)了一些IAST開源項目，可以讓更多的個人或者企業(yè)參與和體驗。

本文就目前網(wǎng)絡(luò)中找到的幾款I(lǐng)AST工具進行部署測試，記錄一些使用過程和體驗。

1、openrasp-iast

openrasp-iast 是一款灰盒掃描工具，目前開源的IAST掃描器，通過安裝Agent和掃描器，能夠結(jié)合應(yīng)用內(nèi)部hook點信息，針對獲取到的url請求參數(shù)進行fuzz，從而檢測到安全漏洞。

支持的編程語言：Java、PHP。

官方文檔：

https://rasp.baidu.com/doc/install/iast.html 

2、火線~洞態(tài)IAST

洞臺IAST提供SAAS平臺，個人用戶通過填寫問卷注冊登錄，下載Agent進行應(yīng)用程序部署，正常訪問應(yīng)用，就可以觸發(fā)漏洞檢測。漏洞結(jié)果提供比較詳細(xì)的HTTP數(shù)據(jù)包和污點流圖，可用于快速驗證和復(fù)現(xiàn)漏洞。

支持的編程語言：Java、C#、Net Core。

官方主頁：

https://hxsecurity.github.io/DongTaiDoc/#/ 

3、Semmle QL

以一種獨特的方法尋找代碼中的漏洞，將代碼當(dāng)成數(shù)據(jù)，將分析問題變成對數(shù)據(jù)庫的請求。

支持的編程語言：Java，Python，JavaScript，TypeScript，C#，Go，C/C ++。

免費檢測平臺：

https://lgtm.com