DongTai IAST 开源项目教程

于 2024-08-09 07:40:17 发布
阅读量984 收藏 11
点赞数 25
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00673/article/details/141045568
版权

DongTai IAST 开源项目教程

DongTaiDongtai IAST is an open-source Interactive Application Security Testing (IAST) tool that enables real-time detection of common vulnerabilities in Java applications and third-party components through passive instrumentation. It is particularly suitable for use in the testing phase of the development pipeline.项目地址:https://gitcode.com/gh_mirrors/do/DongTai

项目介绍

DongTai IAST 是一个开源的交互式应用安全测试(IAST)工具,它通过被动检测技术实时检测Java应用程序和第三方组件中的常见漏洞。该工具特别适合在开发流程的测试阶段使用,能够嵌入到DevSecOps流程中,实现应用漏洞的自动检测、第三方组件梳理和漏洞检测。

项目快速启动

环境准备

  • Docker
  • Docker Compose

快速启动步骤

  1. 克隆项目仓库

    git clone https://github.com/HXSecurity/DongTai.git
cd DongTai

  2. 启动服务

    docker-compose up -d

  3. 访问Web界面

    打开浏览器,访问 http://localhost:80,即可进入DongTai的Web管理界面。

应用案例和最佳实践

应用案例

DongTai IAST 可以广泛应用于以下场景:

  • DevSecOps流程:自动检测应用漏洞、第三方组件梳理和漏洞检测。
  • 常见漏洞挖掘:实时检测和报告应用程序中的安全漏洞。

最佳实践

  • 集成到CI/CD流程:在持续集成和持续部署流程中,使用DongTai IAST进行自动化的安全测试。
  • 定期扫描:定期对应用程序进行全面的安全扫描,确保及时发现和修复漏洞。

典型生态项目

DongTai-Base-Image

DongTai-Base-Image 包含了DongTai依赖的基础服务,如MySQL和Redis。

DongTai-Plugin-IDEA

DongTai-Plugin-IDEA 是与Java探针对应的IDEA插件,可以直接通过插件运行Java探针,并在IDEA中直接检测漏洞。

DongTai-OpenAPI

DongTai-OpenAPI 服务用于DongTai IAST的部署,包括docker-compose单节点部署和Kubernetes集群部署等。

通过以上模块的介绍和实践,您可以快速上手并深入使用DongTai IAST,提升应用程序的安全性。

DongTaiDongtai IAST is an open-source Interactive Application Security Testing (IAST) tool that enables real-time detection of common vulnerabilities in Java applications and third-party components through passive instrumentation. It is particularly suitable for use in the testing phase of the development pipeline.项目地址:https://gitcode.com/gh_mirrors/do/DongTai

申芹琴
关注
web渗透--68--洞态IAST部署及使用
武天旭的博客
01-21 2682
前不久【洞态IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏洞外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
IAST 实践利用洞态做开源组件的安全治理
weixin_40418457的博客
02-11 552
背景 某大型集团在使用洞态一段时间后,发现其配套使用的组件管理的漏洞知识库内容存在滞后性和部分不准确性。倘若将这些内容引入到工单系统中作为安全组件整改任务,那么提供给开发部门的漏洞描述、漏洞危害和修复建议便会显得没有说服力。因此需要寻找实时、有效且免费的安全漏洞知识库的信息来源。 解决方案 目前业内开源组件的安全知识库的来源,主要有两种: 人工维护的商用漏洞数据库 NVD 免费漏洞数据库 由于使用洞态提供的组件信息,最好还是集成免费信息来源。由于 dependency check 工具是通过调用 NVD
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1472
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
IAST 工具初探
05-26 1309
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
一篇文章了解DongTai IAST
lym003的博客
05-11 894
洞态 IAST 是一个完全开源IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义。
干货分享 | 一文了解交互式应用程序安全测试(IAST)技术
weixin_55163056的博客
04-17 853
通过代理和在服务端部署的agent程序,收集、监控Web应用程序运行时的请求数据、函数执行,并与扫描器端进行实时交互,高效、准确地识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。agent的职责分为两部分,应用启动时,负责对应用中的目标方法或者函数(执行漏洞的方法或函数)进行插桩,给目标方法加上一个代理层。而与DAST相比,DAST则很难定位到与漏洞相关的代码行,IAST可以提供详细信息,例如带有漏洞的代码位置,完整的数据流和堆栈信息,以帮助安全和开发团队进行安全漏洞修复。
IAST 初探:博采众长、精准定位、DevOps友好
分享 GPU 管理与大模型推理相关技术实践
06-21 622
交互式应用安全测试(IAST)是近几年来兴起的应用安全测试技术,它结合了 SAST 和 DAST 的优势。本文将介绍它的概念、优势、工具类型以及重要性。
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 5184
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
标题中的“IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_”表明这个压缩包可能包含一个关于理想吸附理论(Ideal Adsorbed Solution Theory, 简称IAST)的项目或者代码库,特别是针对ISAT( Ideal ...
openrasp-iast:IAST 灰盒扫描工具
05-12
此工具基于开源项目OpenRASP,其目标是帮助开发者在应用运行时进行实时的安全防护,同时提供对代码漏洞的检测和分析。 OpenRASP-IAST的核心特性在于它的灰盒扫描模式,这种模式介于黑盒和白盒测试之间,可以在不...
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高...
安全左移DevSecOps开源工具链建设
左手代码右手诗
06-13 1616
开发安全相关技术和产品受到越来越多的关注。行业共识认为,应用系统上线之后进行软件漏洞修复,其修复成本是需求设计阶段修复成本的几十倍。因此,在开发环节,引入相应的安全工具,能够有效的降低漏洞的修复成本,实现安全的左移。本文会持续研究安全开发相关工具,使用开源工具建设安全开发体系。
IAST工具是如何工作的?主动和被动IAST有什么区别?
weixin_55163056的博客
05-06 780
要确保应用程序的质量和效果,需要使用各种不同的测试方法,包括手动和自动化的测试,以及在生产环境中对应用程序进行测试。我们进一步探索,可以将主动IAST与被动IAST相结合,以被动IAST为主,主动IAST用于辅助验证功能,进行测试,适用范围广,可定位到漏洞代码也无脏数据产生。被动IAST的探针以静默方式持续监视指向应用程序的所有常规流量,在运行时查找漏洞。交互式应用程序安全测试(IAST)使用结合了动态应用程序安全测试(DAST)和静态应用程序安全测试(SAST)技术的工具来提高应用程序安全测试的准确性。
简析IAST—Agent篇 | 信息安全
最新发布
360技术
06-21 3127
一、IAST简单介绍IAST(Interactive Application Security Testing)交互式应用程序安全测试,通过服务端部署Agent探针,流量代理/VPN或主机系统软件等方式,监控Web应用程序运行时函数执行并与扫描器实时交互,高效、精准的安全漏洞,是一种运行时灰盒安全测试技术。在分析并评估了业界主流的几家IAST产品后,发现IAST一般可以提供agent插桩检测、流量...
软件开发安全左移最佳工具-iast
securitypaper的博客
06-07 554
交互式应用程序安全测试(IAST)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent 程序,收集、监控 Web 应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。- 来源[信通院 研发运营安全白皮书-2020年](http://www.github5.com/view/266) .........
一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈
热门推荐
liqiuman180688的博客
04-19 2万+
袁新平@默安科技 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyo...
悬镜安全丨SAST,DAST,IAST分不清?看这篇就够了!
Anprou的博客
10-16 2845
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DAST,IAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

申芹琴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值