DongTai--被动型IAST工具部署体验
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。
我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。
在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。
01、环境准备
Docker安装
1、安装所需的软件包sudo yum install -y yum-utils \device-mapper-persistent-data \lvm22、设置仓库sudo yum-config-manager \--add-repo \http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3、安装最新版本的 Docker Engine-Community 和 containerdsudo yum install docker-ce docker-ce-cli containerd.io
docker-compose安装
wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64mv docker-compose-Linux-x86_64 /usr/local/bin/docker-composechmod +x /usr/local/bin/docker-compose sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
02、快速安装与部署
洞态IAST支持多种部署方式,本地化部署可使用docker-compose部署。
$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh
首次使用默认账号admin/admin登录,配置dongtai-openapi,即可完成基本的环境部署和配置。
首次使用默认账号admin/admin登录,配置OpenAPO服务地址,即可完成基本的环境安装和配置。
03、初步测试体验
以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。
部署Agent:
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
检测到的漏洞情况:
这里,推荐几个使用java开发的漏洞靶场:
Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample
最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。
备注:删除所有容器 docker rm -f `docker ps -a -q` 删除所有镜像 docker rmi `docker images -q`
DongTai--被动型IAST工具部署体验相关推荐
- DongTai 被动型IAST工具
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好. 我在5月份的时候就申请了洞态IAS ...
- 无SSH工具部署网站到火腿云
无SSH工具, 部署成品网站到火腿云服务器 文章目录 无SSH工具, 部署成品网站到火腿云服务器 前言 一.准备工作 二.部署流程 总结 前言 画了9块买了个火腿云服务器来部署我的项目,但是网上几乎查 ...
- 大白菜android模拟器,大白菜U盘启动制作工具uefi体验版 V5.0
下载地址:http://down.winbaicai.com:88/dabaicai_v5.0uefi.exe MD5: CD34BC3BF4D3992BD8938F5351B2FC57 SHA1: ...
- 项目四 CentOS使用kubeadm部署工具部署测试环境的K8s集群---Kubectl命令使用以及安装dashboard界面
大家好,我是SuieKa.在之前呢有幸学习了马哥教育提供的K8s入门指南以及视频.初来乍到,写一篇关于K8s的介绍以及部署测试环境使用的K8s集群. 树 @·K8s入门简单介绍 一.K8s(Kuber ...
- 《中国DevOps现状调查报告》发布,悬镜 IAST 工具市场应用率第一
近日,云计算开源产业联盟发布了<中国DevOps现状调查报告(2021年)>,对2020至2021年度DevOps在中国落地实践的现状展开调查,并基于调研结果对未来发展趋势做出预判.调查报 ...
- 开发环境与工具部署服务_开发与部署之间的区别
开发环境与工具部署服务 多年以来,我是一名Smalltalk程序员,这种经验使我从不同的角度来观察编程世界中的思想. 例如,将源代码存储在文本文件中的想法已经习惯了一些. 作为程序员,我们经常在&qu ...
- DigiPCBA设计工具初体验!!!
DigiPCBA设计工具初体验!!! 最近看到一款很不错的在线设计工具,不知道大家都用过没?我总结几点这个设计工具的特点,大家可当作参考. 1.PCB 设计 设计.共享和制造,都在同一空间内,不需要额 ...
- 微信小程序开发者工具初体验及实现技术初探
微信小程序是当前的热点,市面上已经有很多微信小程序开发相关的文章,今天晚上抽了点时间折腾了微信小程序,并顺便看看了下微信小程序开发者工具的实现,是使用Node.js开发的,UI是基于NW.js框架开发 ...
- web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一
本文是我的免费专栏<网络攻防常用工具介绍>的第一篇文章 磨刀不误砍柴工! 在介绍攻防技术时,突然意识基础工具的使用很容易会被忽略,但是对不熟悉的同学来说,这将会极大影响该领域的学习. 所以 ...
- 计算机软件安装检查工具,正版软件检查工具部署应用培训.pptx
正版软件检查工具部署应用培训;正版软件检查工具的功能正版软件检查工具的作用正版软件检查工具的安装使用方法 ;正版软件检查工具的功能规;正版软件检查工具的作用规;检查工具网络版安装环境规;1.打开&qu ...
最新文章
- cmd怎么运行http_Scrapy源码剖析(二)Scrapy是如何运行起来的?
- JQeury form插件的ajaxForm方法和ajaxSubmit方法的区别
- MAC终端配色Solarized
- dart系列之:dart类的扩展
- 【知了堂学习笔记】MySQL数据库常用的SQL语句整理
- 将iphone中的照片同步到电脑
- java bitset_Java BitSet intersects()方法与示例
- java int和String类型之间的相互转换
- PHP字符串相关函数
- ipv6 华为交换机 路由配置_华为路由器单臂路由的配置方法及小案例
- 和平精英有电脑版吗_和平精英电脑版灵敏度调多少 CP端灵敏度设置攻略
- Jensen 不等式
- 苹果电脑表格取消自动计算机,苹果电脑excel序列被隐藏怎么办
- SHON WEBB:搞好人际关系的5点小技巧
- DeepLabv3:《Rethinking Atrous Convolution for Semantic Image Segmentataion》
- 如何运行jnlp文件
- DXF读写:对齐尺寸标注文字居中、上方的位置计算
- 为什么说裁员18000只是微软计划的一部分
- 关于在服务器或者个人PC上安装Ansoft Maxwell 16.0的一点经历
- 2020中国全国各省市,三级联动数据,数据机构(数据来自国家统计局官网)