基于IAST技术的灰盒安全测试工具产分析.docxVIP

基于IAST

基于IAST技术

灰盒安全测试工具产品分析

目录CONTENT灰盒安全测试工具技术原理简介01灰盒安全测试工具常见功能02灰盒安全测试工具优势及不足03在企业内落地实施建议04

目录

CONTENT

灰盒安全测试工具技术原理简介

01

灰盒安全测试工具常见功能

02

灰盒安全测试工具优势及不足

03

在企业内落地实施建议

04

01灰盒安全测试工具技术原理简介

01

灰盒安全测试工具技术原理简介

一个常见的术语灰盒工具通过在字节码中插桩检测探针，在应用程序运行过程中，通过探针采集各种运行时的上下文信息?应用程序代码库框架

一个常见的术语

灰盒工具通过在字节码中插桩检测探针，在应用程序运行过程中，通过探针采集各种运行

时的上下文信息

?

应用程序代码库

框架

应用服务器

JDK

深度插桩

不同语言的实现1.通过Jav

不同语言的实现

1.通过JavaAgent方式实现（Agent利用JVMTI暴露的一些接口）

2.使用字节码修改框架，例如ASM

3.使用AgentOnLoad或OnAttach机制

通过PHP扩展库来实现

通过扩展库获取请求和响应信息

通过扩展库对字符串变量进行打标记（xmark，php7扩展库）

通过IHostingStartup（承载启动）实现

继承IHostingStartup可以注册插件并在项目启动时自动加载

更多信息请查询micr