之前一直有在研究Java插桩应用于安全防御以及检测方面的东西，主要分为RASP和IAST。IAST又叫交互式应用安全测试，它目前主要分为主动式(Active)和被动式(Passive)两种，上个暑假有机会重点接触了一下Passive IAST的一些研究工作。这里打算简单聊聊，也算是一个总结与思考。不会涉及太多技术细节，简单分享下我对的被动式IAST的应用以及优势还有劣势的看法以及存在的一些问题和新的思路。希望能和大家一起交流探讨。

Passive IAST原理

核心

利用Instrumentation API我们可以提供一个Agent代理用来监测和协助运行在JVM上的程序，可以在程序启动前修改类的定义。简单来说就是在运行的应用中织入一个我们的程序。而在这个程序中我们就拥有了获取当前应用的上下文，在应用运行中实时分析数据流以及调用栈的能力，同时也可以通过ASM对已经加载的class进行分析与修改。

在织入我们检测的逻辑代码后，被动式IAST主要是通过污点跟踪的方法来对漏洞进行检测，因为是实时数据流，所以这里我们称为动态污点传播分析。这是与静态扫描中污点分析的一个小区别，而其优势和劣势也主要在这里。

阅读剩余部分 –