IAST 工具初探

1、openrasp-iast

openrasp-iast 是一款灰盒掃描工具，目前開源的IAST掃描器，通過安裝Agent和掃描器，能夠結合應用內部hook點信息，針對獲取到的url請求參數進行fuzz，從而檢測到安全漏洞。

支持的編程語言：Java、PHP。

官方文檔：

https://rasp.baidu.com/doc/install/iast.html

2、火線~洞態IAST

洞臺IAST提供SAAS平臺，個人用戶通過填寫問卷注冊登錄，下載Agent進行應用程序部署，正常訪問應用，就可以觸發漏洞檢測。漏洞結果提供比較詳細的HTTP數據包和污點流圖，可用于快速驗證和復現漏洞。

支持的編程語言：Java、C#、Net Core。

官方主頁：

https://hxsecurity.github.io/DongTaiDoc/#/

3、Semmle QL

以一種獨特的方法尋找代碼中的漏洞，將代碼當成數據，將分析問題變成對數據庫的請求。

支持的編程語言：Java，Python，JavaScript，TypeScript，C＃，Go，C/C ++。

免費檢測平臺：

https://lgtm.com