京东IAST实践:安全测试与关键技术解析
需积分: 8 45 浏览量
更新于2024-07-08
收藏 3.67MB PDF 举报
"Himo Zhu-京东IAST研究及实践.pdf"
本文主要由京东的安全资深架构师Himo Zhu分享了他对互动应用安全测试(IAST)的研究及京东内部IAST实践的相关内容。IAST是一种结合静态应用安全测试(SAST)和动态应用安全测试(DAST)的技术,旨在通过SAST和DAST的交互来提高应用安全测试的准确性,并能确认或否定漏洞的可利用性,定位漏洞源代码的位置。
IAST的提出始于2014年,Gartner将其列为信息安全领域的十大技术之一。IAST的目标是将SAST的早期检测能力与DAST的运行时检测优势相结合,提供一种单一解决方案,能够实时验证发现的漏洞是否可被利用,并确定漏洞存在于应用程序的哪个部分。
在京东的IAST实践中,涉及到的关键技术包括:
1. **污点传播技术**:这是一种追踪敏感数据流的方法,例如,当一个请求携带可能有害的数据(污点)进入系统时,通过添加污点魔数,并利用Tomcat的线程机制和ThreadLocal,确保污点路径的唯一性,从而跟踪数据在程序中的传播和变化。
2. **栈签名算法**:此算法用于识别和验证函数调用的正确性,通过对函数调用栈进行签名,可以检测出潜在的栈溢出、代码注入等安全问题。
3. **组件分析技术**:这项技术用于识别和评估应用程序使用的各种组件,如库、框架等,以便识别已知的安全漏洞,并及时进行修复。
4. **逻辑漏洞讨论**:逻辑漏洞通常比传统漏洞更难以发现,因为它们涉及程序的业务逻辑。IAST可以帮助检测这些漏洞,比如不正确的权限控制、业务流程中的漏洞等。
京东IAST架构可能包括多个组件,如代理服务器、分析引擎、报告工具等,这些组件协同工作,监控应用运行时的行为,检测安全问题,并提供详尽的报告,帮助开发团队快速定位和修复问题。
京东的IAST实践展示了如何将先进的安全测试理念与实际业务场景相结合,提升整体的安全防护水平,对于大型电商平台来说,这是确保用户数据安全和业务稳定运行的重要手段。通过这种方式,京东能够在开发过程中更有效地发现和修复安全漏洞,减少安全风险,提高软件质量。
2021-12-30 上传
2021-12-30 上传
2024-10-15 上传
2024-10-15 上传
2024-10-15 上传
2024-10-15 上传
2024-10-15 上传
zhao-lucy
- 粉丝: 19
- 资源: 436
最新资源
- C语言快速排序算法的实现与应用
- KityFormula 编辑器压缩包功能解析
- 离线搭建Kubernetes 1.17.0集群教程与资源包分享
- Java毕业设计教学平台完整教程与源码
- 综合数据集汇总:浏览记录与市场研究分析
- STM32智能家居控制系统:创新设计与无线通讯
- 深入浅出C++20标准:四大新特性解析
- Real-ESRGAN: 开源项目提升图像超分辨率技术
- 植物大战僵尸杂交版v2.0.88:新元素新挑战
- 掌握数据分析核心模型,预测未来不是梦
- Android平台蓝牙HC-06/08模块数据交互技巧
- Python源码分享:计算100至200之间的所有素数
- 免费视频修复利器:Digital Video Repair
- Chrome浏览器新版本Adblock Plus插件发布
- GifSplitter:Linux下GIF转BMP的核心工具
- Vue.js开发教程:全面学习资源指南