IAST百科全书第14期
IAST是怎么梳理API的?
/火/线/安/全/
0x001
hello大家好,欢迎来到IAST百科全书第14期。
随着现代应用和APP的持续发展,它们的功能和模块不断变得更加复杂,开发者们引入了第三方组件和微服务等创新技术。
这些不同的组件和微服务之间需要通过API进行通信和互相调用,这种依赖关系也随着应用数量和复杂程度的增加而变得更为频繁。
然而,这也导致了一个问题,许多企业难以准确地追踪自己使用了多少个API,更不用说有效地对这些API进行管理,以规避潜在的API安全问题了。
借助IAST工具,我们可以有效地进行API接口的统计和梳理,从而帮助企业实现对API的规范化管理。那么,IAST工具是如何实现API梳理的呢?
IAST采用了插桩技术,这种技术天然适用于跨服务和微服务的环境。在插桩之后,IAST可以在应用运行时捕获到所有交互数据,其中当然也包括了API数据。
IAST通过分析应用运行过程中调用的API,可以从应用中提取与API相关的信息,然后自动对应用和API的代码进行分析,从而完成对API资产的梳理工作。
根据我们目前的经验,IAST实现API发现主要有两种方式:
01
框架分析
首先是框架分析。这种方法基于应用中已有的标准方法,在程序运行时,IAST会读取API,并调用框架中的接口定义方法。
通过这些已有的框架方法,IAST可以获取程序中的API资产。
目前,洞态已经支持对springboot、springMVC和dubbo框架中的API进行收集。通过解析字节码的结果,洞态能够识别出Java类和方法中所包含的API,并从中获取全量的API接口信息。
02
Agent流量分析
另一种方法是Agent流量分析。通过在插桩后的Agent收集测试过程中使用到的API信息,IAST可以持续监控和分析发送到应用的流量,从而更深入地梳理应用接口的资产清单。
最后,IAST会从多种渠道获得的数据进行对比和分析,最终完成对API的梳理工作,帮助企业更好地管理和保障API的安全性。
好了
今天的IAST百科全书就到这里
关于IAST的更多落地实践
可以扫码看看洞态IAST的落地实践案例
关于IAST的其他疑问
也欢迎随时联系我们咨询
我们下期再见!
往期推荐
如有侵权请联系:admin#unsafe.sh