标签： iast

前一篇文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲了SAST和DAST，本篇文章详细讲解一下这两种安全测试方法相结合的测试方法IAST。 什么是IAST IAST（Interactive Application Security Testing），交互式应用程序安全测试，是一种自动化的应用程序安全测试技术，通过结合动态分析和静态分析的方法来检测应用程序中的安全漏洞。通...

DevOps敏捷开发模式已被业界普遍认可并被广泛应用，同时伴随云原生技术的兴起，青睐采用容器编排解决方案来构建和管理应用的企业不胜枚举。但是，应用程序安全测试依赖运行时探针，采用容器编排方案同时也意味着可能存在百万甚至千万个节点，而这个量级的节点无疑为IAST后台探针承载量带来了巨大挑战。因此，IAST检测平台是否支持多种架构部署模式，能否确保每个应用程序能在上线前发现并解决漏洞问题，将成为决定 ...

在各行业数字化进程的快速推进和网络安全攻防效果至上、合规趋严的态势下，软件开发面临的不仅仅是功能效能的提升，而是如何在不同开发模式下融合安全要求和能力，构建高效、安全的软件开发体系。   一、为什么要做开发安全体系？   参照 CNVD 统计数据，大量漏洞层发生在应用层。在近年来的大量攻防演练实战中，应用程序也被认为是最容易被攻破的地方之一。应用程序内生安全缺陷凸显的现状也引起...

近年来，在DevOps模型的指导下，将开发和运维团队结合在一起的公司在以更快的速度发布代码方面取得了普遍的成功。但这一趋势加剧了将安全集成到流程中的必要性，因为发布代码越快，漏洞也就越容易产生。而越来越多的企业和组织已经认识到，信息安全是企业存续发展的基石之一，因此希望将安全融合在DevOps之中，也就是我们所说的DevSecOps。 简单来说，若想要将安全集成到DevOps之中，需要采用工具和方...

2019年年初，拼多多APP出现重大BUG，用户可以在没有任何限制的情况下无限领取100元无门槛优惠券。据不完全统计，一晚上的时间直接造成拼多多损失的优惠券面额达200多亿。根据拼多多官方报道，此次事件是黑灰产团伙通过一个过期优惠券的漏洞，盗取了平台优惠券数千万元。 2018年年底，上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙，该团伙成员发现并利用某银行APP软件中的质押贷款业务安全漏洞...