代码审计-工具篇

代码审计-工具篇

DAST（相当于漏洞扫描，黑盒审计）

动态应用程序安全测试（Dynamic Application Security Testing）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该 Web 应用是否易受攻击。

SAST（相当于代码审计，白盒审计）

静态应用程序安全测试（Static Application Security Testing）技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

IAST（黑盒+白盒审计、灰盒审计）（监控网站中的流量，同时监控源码，一一对应分析）

交互式应用程序安全测试（Interactive Application Security Testing）是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案，通过代理、VPN 或者在服务端部署 Agent 程序，收集、监控 Web 应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST 相当于是 DAST 和 SAST 结合的一种互相关联运行时安全检测技术

对比

注：在实战过程中，尽量要把这三种方案都尝试一下，确保漏洞检测的完整性和准确性。

工具

DAST

请参见漏洞发现与漏洞利用章节（AWVS,Goby等）。

漏洞检测很少，误报率低。

SAST

• PHP：Seay RIPS CheckMarx（重点） Fortify（重点） VCG Kunlun-M
• NET：VCG Fortify CheckMarx
• Java：Fortify CheckMarx
• Python：Bandit（重点） CheckMarx
• JS：Kunlun-M（重点） NodeJsScan（重点） CheckMarx
• Go：Gosec（重点） CheckMarx
• 奇安信代码卫士等
• Kunlun-M：https://github.com/LoRexxar/Kunlun-M

漏洞检测多，误报率高。

IAST

• 火线洞态（推荐）：https://doc.dongtai.io/docs/getting-started/start-project
• 参考文档和使用方法参考：https://blog.csdn.net/weixin_45260839/article/details/125792263
• 悬镜灵脉 IAST
• 默安雳鉴 IAST
• SemmleQL
• openrasp
• VulHunter
• ...
  漏洞检测较少，误报率极低，准确率非常高。

致谢

https://www.bilibili.com/video/BV1pQ4y1s7kH/?spm_id_from=333.1007.top_right_bar_window_custom_collection.content.click

免责声明

    本博客中的内容仅供学习之用，不用于商业用途，也不可以用于任何非法用途，否则后果自负，本人不承担任何责任！