研发面对面｜洞态IAST的污点数据标记及传播分析原理

为解决企业用户使用洞态IAST产品中遇到的问题，帮助企业更好的使用产品，我们定期举办“研发面对面”线上答疑会，对使用洞态IAST的企业进行面对面指导服务。

最近确实收到了不少企业用户在使用洞态IAST产品时遇到的问题或疑惑，被提出的问题都在会议中得到了很好的解答，本公众号定期筛选出一些高质量问题进行分享，让更多的用户全面了解洞态IAST。

IAST是跟踪不可信数据本身的一些变化来做污点分析，SAST是不可信变量做污点分析，所以之间最核心的区别就是如何来标记那个数据的。

在每一个语言里面，它的数据其实都有一些特定的标识，就像它的内存地址之类的。

以 JAVA 为例不可信数据监控方法：

• 所有外部数据来源都标记为不可信。

• 取数据的 

  hashcode/identifyHashCode 作为数据的唯一跟踪方法，加入到污点池中。

• 根据传播规则，判断传播方法的来源污点是否在污点池中。

• 如果在，将传播的结果也加入到污点池中。

这个其实跟第一个问题有关，首先标记哪个数据是污点，标记的过程就是数据对应的hashcode存到污点池，然后传播方法遇到了对应的规则。分析传播方法的数据的来源是不是在污点池里面，如果是的话，就会认为当前方法的来源是从污点过来的。

传播方法传播结束之后，新的变量会被认为是经过污点传播变异后新的污点，然后把这个数据加入到污点池里面。然后通过对单点的方法持续做这样的操作，实现完整的传播过程的传递和梳理。

污点传播的原理：当应用程序从外部输入（HTTP请求、RPC请求、文件、消息队列等等）获取数据时，这些数据被标记为初始污点，数据在应用程序的各个方法/对象之间传递、通信时，出现了污点的流动，在污点流动过程中，污点数据的复制、变化等操作构成了污点的传播；当污点传播至危险函数，导致危险函数触发危险动作时，出现了漏洞。

如何确定一个新的变量是否被污染？有没有被污染跟无害化处理其实是没有特别多的关系的，变量有没有被污染完全是靠传播的逻辑定的。传播前数据过来时是不是被污染的数据，如果是，出去时也一定是被污染的。

那怎么判断是不是被污染之后不一定是有害的？这时的逻辑是靠无害化处理加上主动验证两个功能来做的。

第一种无害化处理，就是加一些像Filter方法之类的，分析某个变量经过Filter的方法处理了，那就是无害的。

第二种主动验证功能，但是这个功能现在还不是特别稳定。就是先识别到当前不可信的数据来源在哪儿，然后再依据当前检测的漏洞类型再加上对应的poc做一次重放，重放时验证加的这个东西有没有到达危险。

以上就是本次分享的主要内容

未来我们会分享更多洞态IAST内容

敬请持续关注

如果您对洞态IAST有任何疑问

添加下方小助手企微为您解答

↓↓↓