DongTai被动型IAST工具部署
目录
- 概述
- 实现原理
- IAST部署
- 项目初体验
- 加载代理
概述
IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。
实现原理
IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式。
代理模式,在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。
插桩模式,插桩模式是在保证目标程序原有逻辑完整的情况下,在特定的位置插入探针,在应用程序运行时,通过探针获取请求、代码数据流、代码控制流等,基于请求、代码、数据流、控制流综合分析判断漏洞。插桩模式具体实现有2种模式,Active 插桩和Passive 插桩。
本文介绍的就是Passive 插桩这种模式。
IAST部署
DongTai IAST 工具地址:https://github.com/HXSecurity/DongTai
本地化部署可使用 docker-compose 部署,拉取代码,一键部署。
git clone git@github.com:HXSecurity/DongTai.git
cd DongTai
chmod u+x build_with_docker_compose.sh
./build_with_docker_compose.sh
docker ps -a
看一下起的容器
登录web
首次使用默认账号 admin/admin 登录,配置 OpenAPI 服务地址,即可完成基本的环境安装和配置。
项目初体验
以 Webgoat 作为靶场,新建项目,加载 agent,正常访问 web 应用,触发 api 检测漏洞。
webgoat项目地址:https://github.com/WebGoat/WebGoat
加载代理
java -javaagent:agent.jar -Dproject.name=webgoat -jar webgoat-server-8.1.0.jar --server.port=10133 --server.address=192.168.40.86
注意:-Dproject.name=与创建的项目名称保持一致,agent将自动关联至项目;如果不配置该参数,需要进入项目管理中进行手工绑定。
访问靶场webgoat后,查看IAST检测到的漏洞
其他功能,还在试用中,以后更新…
DongTai被动型IAST工具部署相关推荐
- DongTai 被动型IAST工具
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好. 我在5月份的时候就申请了洞态IAS ...
- 《中国DevOps现状调查报告》发布,悬镜 IAST 工具市场应用率第一
近日,云计算开源产业联盟发布了<中国DevOps现状调查报告(2021年)>,对2020至2021年度DevOps在中国落地实践的现状展开调查,并基于调研结果对未来发展趋势做出预判.调查报 ...
- 开发环境与工具部署服务_开发与部署之间的区别
开发环境与工具部署服务 多年以来,我是一名Smalltalk程序员,这种经验使我从不同的角度来观察编程世界中的思想. 例如,将源代码存储在文本文件中的想法已经习惯了一些. 作为程序员,我们经常在&qu ...
- 无SSH工具部署网站到火腿云
无SSH工具, 部署成品网站到火腿云服务器 文章目录 无SSH工具, 部署成品网站到火腿云服务器 前言 一.准备工作 二.部署流程 总结 前言 画了9块买了个火腿云服务器来部署我的项目,但是网上几乎查 ...
- 项目四 CentOS使用kubeadm部署工具部署测试环境的K8s集群---Kubectl命令使用以及安装dashboard界面
大家好,我是SuieKa.在之前呢有幸学习了马哥教育提供的K8s入门指南以及视频.初来乍到,写一篇关于K8s的介绍以及部署测试环境使用的K8s集群. 树 @·K8s入门简单介绍 一.K8s(Kuber ...
- 计算机软件安装检查工具,正版软件检查工具部署应用培训.pptx
正版软件检查工具部署应用培训;正版软件检查工具的功能正版软件检查工具的作用正版软件检查工具的安装使用方法 ;正版软件检查工具的功能规;正版软件检查工具的作用规;检查工具网络版安装环境规;1.打开&qu ...
- 《Kubernetes部署篇:基于docker使用kubespray工具部署高可用K8S集群(国内互联网方案四)》
文章目录 一.部署背景简介 二.部署工具介绍 三.部署方案介绍 四.部署环境信息 五.部署资源下载 六.部署准备工作 6.1.系统内核升级 6.2.设置主机名 6.3.环境初始化 6.4.ssh多机互 ...
- 《Kubernetes部署篇:基于docker使用kubespray工具部署高可用K8S集群(国内互联网方案三)》
文章目录 一.部署背景简介 二.部署工具介绍 三.部署方案介绍 四.部署环境信息 五.部署资源下载 六.部署准备工作 6.1.系统内核升级 6.2.设置主机名 6.3.环境初始化 6.4.ssh多机互 ...
- 企业级 CICD 工具部署 Serverless 应用的落地实践
作者 | 李鑫(缤智) 阿里云高级技术专家 背景知识 通过以往几节课程的学习,相信大家对于 SAE 平台已经有了一定的了解.SAE 为客户免除了很多复杂的运维工作,开箱即用.按用量付费:与此同时 SA ...
- SpringCloud 应用在 Kubernetes 上的最佳实践 — 部署篇(工具部署)
作者 | 孤弋 阿里云高级技术专家,负责 EDAS 的开发和用户体验优化工作. 导读:上一篇文章<SpringCloud 应用在 Kubernetes 上的最佳实践 - 部署篇(开发部署)&g ...
最新文章
- 2021年,让OKR帮你完成晋升
- 深度:应用安全是信息安全防护的短板
- VTK:绘图之StackedPlot
- 计算机软考网络工程师历年真题,计算机软考《网络工程师》考试历年真题精选(1)...
- 现有工程项目上加响应式
- storm集群部署和配置过程详解
- 携程回应突发故障:「bug已修复」;罗永浩再嘲iPhone11浴霸相机;React 16.10.0发布|极客头条...
- wpsmac和pc版的区别_办公得力小助手你选谁, WPS Mac版和Microsoft区别在哪里?
- matlab画三维图如何更改颜色,MATLAB画三维图像
- ftp上传文件时出现 550 Permission denied,不是用户权限问题
- 如何使用Burp suite抓取Fiddler转发的流量包
- 双基管理 运营_浅谈银行“双基”管理的重要性
- 基于jsp+mysql+ssm妇女联合会管理系统-计算机毕业设计
- 利用JavaScript实现发表、修改、删除评论
- 【智能制造】见识一下某航空企业的智能制造技术架构!
- golang内幕之for-go-statement
- Redis代理twemproxy安装,配置,使用
- 如何在Windows 7、8或10中恢复快速启动栏
- 前端入门技术书籍推荐:JavaScript高级程序设计等,吐血整理!
- 【第3版emWin教程】第50章 emWin6.x的AppWizard使用控件经典回调方式