“洞态” IAST 交互式安全测试工具即将在 Gitee 开源

最新推荐文章于 2023-11-20 09:55:16 发布
最新推荐文章于 2023-11-20 09:55:16 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: Gitee项目推荐 文章标签: 测试工具 devsecops devops 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZicoChan/article/details/120017211
版权

2021 年 9 月 1 日,火线安全平台(以下简称“火线”)宣布正式开源 DevSecOps 应用安全产品“洞态”,这也将是全球专业 IAST 领域的首个开源项目。

据了解,火线是国内知名的白帽子平台,拥有大量安全专家及头部互联网和金融客户。洞态 IAST 早期主要供火线平台的合作企业使用,目前,包括去哪儿网、轻松筹、百世快递、同程旅行、掌门1对1等知名公司都已将洞态 IAST 作为 DevOps 环节中的重要安全工具。

火线安全平台创始人邬迪表示,敏捷开发的普及让企业可以更高效的生产应用,同时也意味着产生更多的安全漏洞,如果在发布后才发现这些安全风险,成本相当巨大。所以,通过在软件的生命周期的早期即引入安全工具开展预防工作,已经成为业内共识。

而云原生的背景下,新的安全工具不仅需要应对不断变化的外部威胁,更应该满足云原生应用快速拓展、弹性伸缩的特性,即要考虑在安全和效率上的平衡——要更柔和的嵌入,而不是用分散和粗暴的方式来干预。

“随着云的普及和大量安全类法规的落地,应用安全的重要性已经不言而喻。火线希望将洞态 IAST 开源后,能让所有的企业都能使用最前沿 DevSecOps 产品,与所有企业一同共同构建 DevSecOps 安全生态”,邬迪谈到。

image.png

IAST 全称 Interactive Application Security Testing,即“交互式应用程序安全测试”。它主要通过 Agent 来收集和监控应用程序运行时的函数执行及数据传输,并与服务端进行实时交互,进而更高效的识别应用软件的安全缺陷及漏洞

最低0.47元/天 解锁文章
Gitee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 427
应用程序安全是个永恒的话题,而SAST、DAST与IAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
演讲回顾 | 中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准...
DevOps持续集成的博客
08-30 614
公众号后台查看【大会资讯】-【资料下载】,获取DSO 2021大会PPT引言近日,由中国信息通信研究院指导,DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全...
刘济舟:《基于IAST交互式安全测试实践的初步探索》
Anprou的博客
04-25 594
3月13日,「金融业企业安全建设实践群·华南分会」在深圳举办了2021年第一场线下活动——IAST实践分享研讨会。 本文内容整理自现场刘济舟的发言,已脱敏,已获原作者授权发布。 以下为发言实录: 大家好,我是刘济舟,今天给大家分享基于 IAST 交互式安全测试实践的初步探索,包括以下四个方面: 一,SDL 体系的的建设考虑 从需求的角度,我们的需求一般是由业务部门进行整理和提出的,通常业务部门更侧重于业务功能的实现,也没有足够的能力去顾及安全,导致在需求分析阶段缺乏足...
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等情况,尤其是使用了自定义的过滤函数 二, :rocket:火线〜洞态IAST极速体验 快速开始请查看 三,检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql,mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 头注入 XXE 不安全的readline 不安全的重新 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置安全 反射注入 第三方组件收集及防御检测 四,问答区
SAST、DAST、IAST几种测试工具的比较
jimmyleeee的专栏
07-02 6772
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
《静态应用程序安测试工具(SAST)能力要求》《交互.pdf
03-10
《面向云计算的研发运营安全工具能力要求》是国内首个针对静态及交互式应用程序安全测试工具的标准,旨在帮助工具厂商规范和提升安全测试工具质量,同时为企业用户对此类工具选型提供参考。 六、结论 静态应用程序...
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 DAST-代理型WEB扫描器 IAST-插桩主动型IAST IAST-插桩...
IAST 工具初探
05-26 1286
IAST交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST 原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链 项目介绍 “火线〜洞态IAST”是成套专为甲方安全人员,甲乙代码审计工程师和0自动化挖掘0天。 “火线〜洞态IAST”具有五大模块,分别是dongtai-webapi dongtai-openapi , dongtai-webapi dongtai-openapi , dongtai-openapi dongtai-engine , dongtai-web , agent ,其中: dongtai-webapi用于与dongtai-webapi dongtai-web交互,负责用户相关的API请求; dongtai-openapi用于与agent交互,处理agent上报的数据,向agent下
洞态IAST落地实践
phantoms007的博客
06-17 1616
刚开始,笔者测试百度OpenRASP的IAST功能(主动式IAST),OpenRASP的IAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上解决了脏数据的问题,但是出现了很多漏报,而且基于重放HTTP请求的检测方式,对存在签名、防重放之类,无法进行HTTP请求重放的接口来说,...
从了解洞态 IAST 到加入开源社区
weixin_40418457的博客
12-28 305
引言 作为公司信息安全部的成员,确保每一条业务线的应用安全,是我工作的一部份,那么如何完全这项使命呢?我会在接下来的篇幅中一一说明。 应用安全测试 目前常见的应用安全目前常见的应用安全测试有三种:SAST (静态应用程序安全测试),DAST (动态应用程序安全测试)、IAST (交互式应用程序安全测试)。 SAST 我们已经自研了一套应用于主要业务线的 SAST 平台,在使用的过程中,有不错的漏洞检出率,但受限于编程语言,以及其存在一定的误报率,需要消耗较大的运营成本去审核检出的漏洞。 DAST 黑盒安全
IAST工具Semmle QL初探
manok的专栏
04-21 1765
Semmle公司获得2100美元的B轮融资,领投方为Accel Partners,这是后者第二次投资这家公司。其他投资者包括Work-Bench、Capital One、Credit Suisse、谷歌、微软、NASA和Nasdaq Trust。本轮融资后,Semmle的融资总额将达到3100万美元。那么被业界追捧的Semmle有什么产品呢? Semmle公司声称以一种独特的方法寻找代码中...
洞态IAST源码分析及吐槽
weixin_40418457的博客
05-21 856
0x01 前情提要 北京时间11点42分,正准备划 20 分钟水去吃午饭,园长突然跟我说过火线的 IAST 突然开源了,原名灵芝IAST更名为洞态IAST,真是OMG。 IAST 也是同样使用 agent 技术。同样一种技术,在不同人的手里用法也不同,同一种思路在不同人手里的实现方式也可能存在差异。那么既然他开源了,那就来看一看学习一下他的思路和实现,也顺便测试一下产品,取其精华。 能有这样的产品开源供广大安全从业者测试和学习真的是一件非常好的事,真的是要撒花庆祝,感谢老板。由于明确项目定位是 IAST
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
weixin_40418457的博客
12-08 385
洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下: 增强敏感信息检测能力 新增策略模版管理功能 新增“关于洞态”页面 新增Agent主动验证的关闭功能 优化项目配置 优化组件管理功能 01 增强敏感信息检测能力 支持 HTTP 请求中请求参数 请求体和响应体的检测 使用场景 根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手
安全测试工具分为 SAST、DAST和IAST 您知道吗?
最新发布
liwenxiang629的博客
11-20 656
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!
软件开发安全左移最佳工具-iast
securitypaper的博客
06-07 531
交互式应用程序安全测试(IAST)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent 程序,收集、监控 Web 应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。- 来源[信通院 研发运营安全白皮书-2020年](http://www.github5.com/view/266) .........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值