交互式应用安全测试在等级测评中的实践

摘要

在开展等级保护工作的过程中,黑盒扫描和白盒审计这两种传统漏洞扫描方式存在的漏报、误报的缺陷给项目实施人员带来了很大的困扰.文章结合等级测评中客户需求,提出利用交互式应用安全测试来解决该问题,通过应用程序插桩的方式,结合动态应用安全测试和静态应用安全测试技术,在漏洞扫描的同时,从代码层面确认漏洞产生的位置,从而实现动态代码审计的功能.实验结果表明,交互式应用安全测试极大地提升了漏洞扫描的准确率和扫描效率,减轻了测评人员在项目实施中地负担,促进了测评实施流程的优化.