灵脉IAST V3安全测试详细教程：项目管理与扫描指南

灵脉IAST安全测试使用说明V3版本文档提供了关于企业内部使用的安全测试工具的详细操作指南。该文档对于在IT环境中确保网站和应用程序的安全性至关重要。以下是主要知识点的详细解读： 1. 项目管理和任务创建： - 使用该平台进行安全测试之前，必须先创建项目，避免使用默认项目，以确保与TPD平台的数据对接顺利。创建项目时，需根据实际业务涉及的域名，将它们作为资产信息录入，便于区分和管理。 - 在创建项目后，可以添加检测任务，任务需明确标识版本号，以便跟踪和追溯。 2. 访问地址和账号管理： - 安全测试通过HTTPS协议访问，访问地址是<https://ebgiast.iflysec.com/login>，同时提供了代理服务器的IP地址（172.30.92.158）和端口（9091）。账号开通需要联系指定的安全专员，例如邓云霞、张丽和袁秀群，他们分别负责不同的产品线或部门。 3. 扫描过程： - 扫描任务可以在"任务管理终端流量代理"中添加，支持多种场景，包括Web、H5类网站，Android、iOS和小程序，以及PC端全局代理。用户需实时操作网站，扫描过程中点击的动作会被记录并生成报告。 - 可以随时暂停或结束任务，扫描结束后点击生成报告，获取测试结果。 4. HTTPS证书管理： - 文档提供了针对火狐、谷歌和360浏览器的HTTPS证书安装步骤。对于安卓设备，以华为手机为例，证书安装后无需重启即可生效。苹果设备在导入证书后需重启浏览器确认安装状态。 5. 浏览器端代理配置： - 不同浏览器（如火狐、谷歌和360）需要在各自的设置中配置代理服务器的地址和端口，确保安全代理的正确接入。 6. 注意事项： - 不推荐使用平台扫描外部网站，尤其是大型公共网站，以防数据泄露或污染。同样，生产环境的安全测试需要特别谨慎，避免对生产环境造成不必要的影响。 这份使用说明文档详细地指导了灵脉IAST安全测试的各个环节，从项目设置到扫描流程，再到证书安装，确保了安全测试的高效执行和数据的安全性。企业IT人员在实际操作中，应严格按照文档中的指导进行，以最大程度地保护公司的网络安全。