新一代iast灰盒安全测试技术凭借其极高的检出精度、深度的业务透视能力及高度自动化ci/cd支持能力,正快速由行业头部用户的场景化探索实践向广大中小型用户规模化应用实践演进。由于其特殊的技术原理,使得该项新技术对业务语言的覆盖支持成为关键落地因素之一。
今年6月,中国信息通信研究院(以下简称“中国信通院”)正式发布《交互式应用程序安全测试工具能力要求》行业标准(以下简称“iast标准”),并于首届devsecops敏捷安全大会(dso 2021)首次公开标准解读。目前,中国信通院已完成首批评估测试,悬镜灵脉iast是全球首个通过该项专业测评认证的iast工具。
自iast标准发布起,中国信通院同步启动了首批iast工具的测试工作。依托标准要求中的34个功能指标项,在统一并发场景下进行性能检测记录。通过对测试结果分析发现,各厂商iast工具在以下三方面存在较大差异:
1、对主流编程语言支持的覆盖率;
2、对不同安全漏洞类型及结果的定义规范;
3、配置缺陷和弱密码等低危漏洞或信息漏洞的检测结果。
其中,首当其冲的是对主流编程语言的覆盖率问题。在iast标准当中,“支持的编程语言”被标定为全标准的第一条测试要求,由此可见其重要性。iast工具是否支持多种主流编程语言,直接决定了其是否能适配客户各种各样的实际开发场景,进而满足助力客户业务发展的需求。
图:iast标准中对编程语言的要求
多种编程语言的支持,对用户的意义不是够不够好,而是能不能用。如果用户核心业务使用的语言没有被iast探针支持,即使iast产品有100分的其它功能,对用户来说也是0分。
01 iast工具介绍
iast(interactive application security testing, 交互式应用安全测试)是应用程序在进行自动化测试、人工测试等任何与应用程序进行“交互”的同时,能自动分析应用程序安全风险的技术。它可以实时返回结果,因此不会额外增加ci/cd的时间。
相比于其他ast技术,iast只会分析“交互”产生时所影响到相关代码的安全风险,而不是扫描所有代码、配置文件或遍历整个站点。iast更适合在qa环节使用,让安全团队在相对不影响开发、测试现有流程的情况下,较早地发现应用程序中存在的安全风险。
需要注意的是,与其他ast技术相比,iast还是一个比较新的概念,其基于请求、代码数据流/控制流来综合分析应用程序的安全风险。iast运行时插桩技术可以发现更多应用程序本身的安全弱点,以及应用程序中第三方组件的公开漏洞。由于该技术针对不同语言需要研发不同的插桩探针,因此对于厂商而来,其iast工具每增加对一种语言的支持,即相当于开发一款新产品,也就意味着iast工具支持的编程语言越多,厂商所需投入的人力成本和经济成本也就越大。
支持多种编程语言插桩,是iast技术未来发展的必然趋势,原因在于不同行业由于属性不同,对开发语言有特殊要求。例如金融行业,普遍以java语言为主;互联网行业则是多语言环境的典型代表,使用的语言五花八门,java占比较高,同时也会使用python、go、node.js、.net等语言来适配多种业务场景。如此,一款好的iast工具支持多语言插桩是必要基础,也是iast工具厂商在技术上必然的拓展方向。
02 主流编程语言分析
截至2021年7月tiobe发布的编程语言指数报告,排在前十名的编程语言中,常见的应用开发语言主要有java、python、c#、javascript、php这5种(vb.net 随着 .net core 和 .net 5.0 的推出,跨平台方面优势将不再明显,因此不再讨论)。
图:tiobe-2021年7月编程语言排行(tiobe index for july 2021)
根据tiobe指数排行,这里列出了百度指数、google trends以及stack overflow trends近年内对java、php、node.js、python、c#这些语言的热度检测趋势:
图:近4年间java、php、node.js、python、c#编程语言百度指数趋势
图:近4年间java、php、node.js、python、c#编程语言google trends趋势
图:近12年间java、php、node.js、python、c#编程语言stack overflow trends趋势
通过对比上述各平台的趋势发现,对着数据科学、人工智能等领域的兴起,python的热度扶摇直上。作为一种动态类型语言,使用python作为web应用程序的主要开发语言可以在初期为项目节省大量的时间和成本。例如:早期的youtube、知乎平台等,均使用python作为主要的web开发语言。
但是由于python在多线程上的硬伤和动态类型语言后期不易维护的特点,很多企业在完成初期的用户积累后,都会选择使用一门静态类型的语言来重构他们的应用,例如java、c#或者golang。
java凭借其简单易懂的语言、活跃的社区支持、以及jvm优秀的跨平台支持,使其成为全球使用最多、最广泛的web应用程序编程语言。
c#背靠microsoft,凭借asp.net、razor、良好的社区、宇宙级ide:visual studio,再加上语法和java、c等语言相近的特点,也在web应用程序编程语言中占有一席之地,但在国内热度相对较低。
php 与 python 一样,也是一种动态类型语言。由于一定的历史原因,php 作为“世界上最好的语言”在国内热度一直较高。低学习门槛、易于开发和部署的特点,让很多企业选择使用 php 来编写公司官方网站或者与微信开放平台对接。
node.js在严格意义上来说并非一门语言,而是使用javascript引擎构建的平台。java、c#契合web应用程序开发的一部分原因是其能够和javascript/typescript友好地融合(例如:jsp技术和razor技术)而node.js作为直接使用javascript来构建的平台,在这方面有天然优势。同时,由于javascript引擎的更迭,其效率越来越高,加上原生支持异步处理等特点,非常适合快速构建web应用,因此热度也在不断上涨。
目前国内,面向互联网的web应用程序主要以java、php来编写,内网应用则呈现出多元化的态势,以快速实现功能为主要目标,因此使用python、node.js、golang、c# 来开发的应用占比也相对更高。
03主流语言插桩原理简述
iast 插桩探针想要分析数据流需要做两件事情。第一点是如何“理解”代码。我们需要根据不同语言来区分,需要关注哪些函数,这些函数里哪些是污点输入?哪些是污点传播?哪些是污点清洗?以及又有哪些是污点汇聚?这个我们可以根据不同的漏洞原理来做分析,第二点,我们如何捕获关键函数的调用情况?这需要我们从各种语言底层做突破,使得我们能读取到关键函数何时被调用、传入了什么参数、数据传递给了谁。下面将针对不同语言,浅析 iast 插桩捕获关键函数的原理。
图:灵脉iast支持的部分中间件及框架
作为全球首款通过中国信通院交互式应用程序安全测试工具(iast)能力认证的产品,灵脉iast是国内唯一支持java、php、node.js、python、.net、go等全部主流语言的iast工具,其中各语言具体支持的部分中间件及框架如上图所示。以下将结合灵脉iast工具简述主流语言插桩原理。
java
如果语言本身提供了插桩的接口,那么探针开发的难度将会大大降低。例如java提供了一个instrumentation 接口。通过该接口,可以以一种标准的方式,在启动应用时添加javaagent参数来加载插桩探针,从而实现动态数据流污点追踪。大致流程如下:
图:java实现动态数据流污点追踪流程
如图所示,通过红色的jvm agent路径,就可以获取到hello类中的方法何时被调用、接受到了哪些参数等信息。更进一步,就可以阻断它的执行(rasp的功能),甚至修改它的执行逻辑。当然,即便官方已经提供了标准做法让插桩探针的研究少走弯路,但是构建成熟的java探针并非易事。
除java外,其他一些语言也使用了jvm虚拟机,例如scala、kotlin等,这些语言的插桩原理比较类似,不再赘述。
php
php core使用c语言编写,默认情况下,php开发者使用的所有函数都在php core和c中定义。当php程序在运行时,有三个主要组件进行交互:
l 用户代码(用户自有代码、框架等);
l 扩展(数据库驱动、curl等);
l php core。
php程序通常有如下两种主要运行方式:
l web模块(如apache mod_php);
l 独立进程(如php-fpm),常用于与反向代理通信)。
在php中,没有多线程的概念,每一个请求都会生成一个新的进程。因此,很多php服务器上同时会处理成百上千个php进程。一个进程可以理解为一条请求。当一条请求进行php应用程序后,将会经历如下生命周期:
1、 minit(模块初始化)
2、 rinit(请求初始化)
3、 执行响应php代码逻辑,生成相应并返回
4、 rshutdown(请求关闭)
5、 mshutdown(模块关闭)
php插桩检测的主要方式是替换内部函数,将原始请求暂存在特定的位置,并触发探针分析,分析引擎通过比对函数列表检索出被调用的函数并记录,然后释放原始请求,再以同样的方式继续执行,分析之后的内容。流程如下:
图:php插桩检测流程
如上图所示,php插桩探针包装了原始函数,就像安检一样,你和你的行李(原始数据)需要通过安检仪器后才能进入下一阶段。但在早期的实践中,我们发现过多的“安检”会造成很大的性能损失,因此在灵脉iast中,研发团队针对性插桩关键函数,配合主动验证功能,在保证对业务影响最小的情况下,实现高效检出。
node.js
javascript的灵活性为node.js动态插桩检测提供了便利。但是由于node.js有着众多版本,很多版本之间api变化很大,因此,对于不同node.js版本插桩探针的构建将会有不少的坑要踩。对于node.js插桩探针,通常采用和 php 类似的方法 ——包装函数。要构建一个node.js插桩探针,至少需要从以下几个方面着手研究:
1、跟踪导入的模块;
2、构建包装器;
3、构建hooks。
首先,由于node.js导入模块时,会将模块保存在本地位置(如node_modules)。通过require语句或者遍历本地模块目录,可以检索出所有需要跟踪/监听的模块。然后,根据上一步得到的模块列表,针对性地筛选出需要包装的方法/函数。接着,将构建的hooks置于包装后的方法中。最后,当hooks被触发时,调用引擎对其进行分析。至此,分析引擎将能获取到原始数据,根据需要,我们可以对数据流进行阻断、处理、放行等操作。
与php不同的是,在node.js中导入模块是一个同步的操作,添加一个跟踪器来跟踪模块导入的开销可以忽略不记。触发hooks会影响代码逻辑的执行时间,但这是不可避免的,和php一样,需要筛选出关键函数来进行监控。
python
得益于python内建的自省机制,使得在python上构建插桩探针变得安全可靠。和php、node.js类似,构建python插桩探针的主要方法同样是包装底层函数。pep 302提供了import hook的方式,在被引用的模块被加载前,就可以动态地对特定函数添加装饰器,也避免了在其他位置重复引用而导致装饰器失效的糟心问题。
虽然对于使用python定义的函数进行包装相对容易,但在常用的cpython解释中,很多类都是由c定义(例如,大多数的db driver)。好在绝大多数的db driver(sqlite、mysql等)都遵循 pep 249 ,这样就有机会顺着db driver的调用链一路打补丁。对于未遵循dbapi2的db driver(nosql等),则需要更多的工作量。
.net
众所周知,.net技术体系与java高度重叠。表现在探针产品层面,就是.net探针与 java探针在作用原理与产品架构上高度相似。所不同的是,.net clr并未提供类似java.lang.instrument包那样易于使用的接口。实际上,.net探针的主要技术难度集中在如何像java改写bytecode一样动态地改写jit阶段的cil编码。
在实际实现时,.net探针利用了clr的profiling接口,通过c 实现一套类似jvm instrumentation api的il改写机构,以将基于c#安全保障业务逻辑注入到关键方法之中。除去这套il改写机构带来的麻烦外,gac、mscorlib/system.private.corelib等 .net特性都最终使得探针在形态上与前述各语言区别较大。
目前,一场变革正在.net技术世界中发生,无论是转向开源的.net core还是作为“下一代”的.net5/6都在底层上引入了不少变动。幸运的是,在clr层次上的变动仍然相对保守。因此,目前探针同时具备对传统的 .net framework、.net core 与最新的 .net 5/6 环境的适应性。之后,我们也会持续跟踪该领域内的各项进展。
go
go 语言是近几年兴起的技术门类,其核心优势在于开发/运行效率高、工具链完善且二进制易于部署。然而,对这种直接编译为二进制的技术体系,利用 runtime 机制进行插桩的方式就不再有效。因而,go 探针在形态上与使用体验上与其他探针云泥之别。得益于go的开源特性,可以直接对go工具链的源码进行改写。我们通过将 `go build`命令逻辑进行改写,实现`xmirror-go build`命令,即可在项目构建过程中,将安全保障逻辑加入关键方法之中。
对go语言的支持,是灵脉iast全覆盖主流编程语言的最后一公里,灵脉iast go探针已进入测试验证阶段,很快将在正式版产品中与大家见面。
04灵脉iast探针的特点
悬镜灵脉iast在银行、证券、保险、能源、电力、运营商、智能制造及泛互联网等不同行业的复杂业务场景下进行了广泛的应用和落地实践,沉淀出了高适配、低消耗,高检出、低误报等综合技术优势。目前灵脉iast探针具有以下特点:
插桩规则动态更新 :插桩检测规则并非静态在探针内定义,而是以动态的方式下检测规则集,并且检测规则及规则集均支持自定义,最大程度上避免误报、漏报的产生;
无需修改现有代码 :无需修改现有代码,只需在启动时添加参数应用插桩探针(启动时加载),或者在应用启动后通过进程id(pid)动态加载(热加载)即可完成插桩;
开源组件依赖分析 :运行时动态分析应用程序依赖链,通过指纹、同源代码片段匹配等多种手段分析应用程序引入第三方开源组件的风险;
性能优化 :经过大量客户验证,对性能影响极小。并提供熔断开关,当阶段内cpu占用超过设定时,自动停用,优先业务顺畅运行;当cpu空闲时自动恢复工作;
多功能探针 :主动插桩、被动插桩,甚至rasp插桩,共用同一个探针,可以通过web界面随时切换工作模式;
脏数据处理 :主动模式下,可通过web界面上的开关控制是否释放脏数据;
自动回归测试 :被动模式下,可通过web界面启动回归测试,再次触发请求,如果漏洞已修复,将自动更新漏洞状态为“已修复”。
05iast语言支持的发展
从2012年首次被提出,到近年成为软件安全领域的技术焦点,iast工具正在向规范化和规模化应用发展。随着iast行业用户的快速增长,对应用编程语言的覆盖率、iast检测精度及业务全场景支持已成为评判iast工具成熟度的主要标准。
目前对java、php、node.js、python、.net、go等主流语言的覆盖率,相比国内其他厂商仅支持一两款语言,contrast、悬镜安全和synopsys处于全面领跑地位。对主流语言的覆盖率,是当前绝大多数iast工具需要在未来很长一段时间内持续弥补的技术短板。
表:国内外厂商iast部分功能对比