DongTai 被动型IAST工具
Bypass
共 1024字,需浏览 3分钟
·
2021-09-12 10:24
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。
我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。
在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。
1、快速安装与部署
本地化部署可使用docker-compose部署,拉取代码,一键部署。
git clone https://github.com/HXSecurity/DongTai.git
cd DongTai
chmod u+x build_with_docker_compose.sh
./build_with_docker_compose.sh
首次使用默认账号admin/admin登录,配置OpenAPI服务地址,即可完成基本的环境安装和配置。
2、初步体验
以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
检测到的漏洞情况:
这里,推荐几个使用java开发的漏洞靶场:
Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample
最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。
评论
DongTai被动式交互式安全测试产品
DongTai(洞态IAST)是一款开源的被动式交互式安全测试(IAST)产品,通过动态hook和污点跟踪算法等实现通用漏洞检测、多请求关联漏洞检测(包括但不限于越权漏洞、未授权访问)、第三方组件漏洞
DongTai被动式交互式安全测试产品
0
jtstats数值型统计工具
在平时开发中,经常要希望统计一些性能之类的数值型的统计,后来了解到statsD,它的使用非常简单。后来想自己写写统计,打发时间,因些创建了JTStats这个项目。JTStats主要用于数值型的统计,有
jtstats数值型统计工具
0
dart-collab同步型文档编辑工具
dart-collab是Dart上面的一个操作变换库。dart-collab相当于一个协同工具,允许多个用户在不同的客户端来编辑一个文档,并支持同步。
dart-collab同步型文档编辑工具
0
工具型产品的设计之道
关注 三分设 和 10 万设计师一起成长群核科技用户体验设计 | 三分设互联网发展至今,各类应用场景的产品层出不穷,消费类、工具类、游戏类、金融类等,每类产品都有各自的产品特征和设计原则,今天我们来聊聊工具型产品,看看它有什么特点。工具型产
三分设
0