本文转载自微信公众号「绕过」byBypass。转载本文请联系旁路公众号。近年来,IAST作为一种新兴的应用安全测试技术受到了广泛关注,一些IAST开源项目也逐渐涌现,让更多的个人或企业参与和体验。本文对现网发现的几款IAST工具进行部署测试,记录一些使用过程和心得。1.openrasp-iastopenrasp-iast是一款灰盒扫描工具。目前开源的IAST扫描器,通过安装Agent和扫描器,可以结合应用内部的hook点信息,对获取到的url请求参数进行fuzz,检测安全漏洞。支持的编程语言:Java、PHP。官方文档:https://rasp.baidu.com/doc/install/iast.html2.火线~东台爱思特东台爱思特提供了一个SAAS平台。个人用户通过填写??问卷注册登录,下载应用部署Agent,正常访问应用,即可触发漏洞检测。漏洞结果提供详细的HTTP报文和污点流程图,可用于快速验证和复现漏洞。支持的编程语言:Java、C#、NetCore。官方主页:https://hxsecurity.github.io/DongTaiDoc/#/3。SemmleQL使用独特的方法来查找代码中的漏洞,将代码视为数据,将分析问题转化为对数据库的请求。支持的编程语言:Java、Python、JavaScript、TypeScript、C#、Go、C/C++。免费测试平台:https://lgtm.com
