[[402419]]

本文轉載自微信公眾號「Bypass」，作者Bypass 。轉載本文請聯系Bypass公眾號。

近年來，IAST作為一種新的應用安全測試技術，受到廣泛的關注，慢慢出現了一些IAST開源項目，可以讓更多的個人或者企業參與和體驗。

本文就目前網絡中找到的幾款IAST工具進行部署測試，記錄一些使用過程和體驗。

1、openrasp-iast

openrasp-iast 是一款灰盒掃描工具，目前開源的IAST掃描器，通過安裝Agent和掃描器，能夠結合應用內部hook點信息，針對獲取到的url請求參數進行fuzz，從而檢測到安全漏洞。

支持的編程語言：Java、PHP。

官方文檔：

https://rasp.baidu.com/doc/install/iast.html 

2、火線~洞態IAST

洞臺IAST提供SAAS平臺，個人用戶通過填寫問卷注冊登錄，下載Agent進行應用程序部署，正常訪問應用，就可以觸發漏洞檢測。漏洞結果提供比較詳細的HTTP數據包和污點流圖，可用于快速驗證和復現漏洞。

支持的編程語言：Java、C#、Net Core。

官方主頁：

https://hxsecurity.github.io/DongTaiDoc/#/ 

3、Semmle QL

以一種獨特的方法尋找代碼中的漏洞，將代碼當成數據，將分析問題變成對數據庫的請求。

支持的編程語言：Java，Python，JavaScript，TypeScript，C#，Go，C/C ++。

免費檢測平臺：

https://lgtm.com