DongTai 被动型IAST工具

开发 开发工具
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

[[423321]]

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

1、快速安装与部署

本地化部署可使用docker-compose部署,拉取代码,一键部署。

  1. git clone https://github.com/HXSecurity/DongTai.git 
  2. cd DongTai 
  3. chmod u+x build_with_docker_compose.sh 
  4. ./build_with_docker_compose.sh 

首次使用默认账号admin/admin登录,配置OpenAPI服务地址,即可完成基本的环境安装和配置。

2、初步体验

以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。

  1. java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0 

检测到的漏洞情况:

这里,推荐几个使用java开发的漏洞靶场:

  1. Webgoat:https://github.com/WebGoat/WebGoat 
  2. wavsep:https://github.com/sectooladdict/wavsep 
  3. bodgeit:https://github.com/psiinon/bodgeit 
  4. SecExample:https://github.com/tangxiaofeng7/SecExample 

 

最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

 

责任编辑:武晓燕 来源: Bypass
相关推荐

2021-05-30 19:01:59

工具IAST网络

2010-12-14 11:20:59

P0f

2022-07-26 11:08:14

ZadigIAST持续交付

2021-09-14 15:01:31

Pstf安全工具指纹框架

2017-05-10 14:50:41

爬虫扫描器python

2022-08-31 15:41:09

IASTRASPInstrument

2022-06-19 22:54:08

TypeScript泛型工具

2021-10-25 05:39:12

被动网络侦察工具Sigurlfind3安全工具

2021-09-16 10:57:20

云原生

2019-09-10 12:59:45

2020-06-22 07:00:00

BI工具AI大数据

2011-04-06 08:54:30

Cacti数据获取

2009-12-18 18:22:31

Fedora SCSI

2013-07-27 21:10:02

2013-08-27 10:25:54

微软鲍尔默盖茨

2013-05-09 08:55:45

移动应用设计用户体验

2012-02-01 13:33:45

2012-01-17 10:04:07

2010-09-27 09:49:48

2012-02-16 10:37:34

点赞
收藏

51CTO技术栈公众号