IAST是在正常的功能测试过程中采集请求中的污点传播链路及其相关信息，然后基于污点关联算法进行漏洞检测。与DAST相比，IAST的请求参数不是专门针对特定漏洞类型构造的，验证漏洞的准确性或可利用性存在困难。IAST的执行步骤包括采集请求信息、检测漏洞、构造Payload、重放请求和检测漏洞。IAST存在的问题包括与DAST的逻辑差异、性能影响、脏数据、漏洞类型覆盖和重放目标不稳定。IAST的验证方式难以达到DAST的准确率，因此使用独立的DAST产品进行验证可能更好。