DongTai被动型IAST工具部署

最新推荐文章于 2023-08-09 09:36:15 发布
最新推荐文章于 2023-08-09 09:36:15 发布
阅读量956 收藏 1
点赞数
分类专栏: 环境配置 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo15890025019/article/details/120418059
版权

目录

概述

IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。

实现原理

IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式。

代理模式,在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。

插桩模式,插桩模式是在保证目标程序原有逻辑完整的情况下,在特定的位置插入探针,在应用程序运行时,通过探针获取请求、代码数据流、代码控制流等,基于请求、代码、数据流、控制流综合分析判断漏洞。插桩模式具体实现有2种模式,Active 插桩和Passive 插桩。

本文介绍的就是Passive 插桩这种模式。

IAST部署

DongTai IAST 工具地址:https://github.com/HXSecurity/DongTai

本地化部署可使用 docker-compose 部署,拉取代码,一键部署。

git clone git@github.com:HXSecurity/DongTai.git
cd DongTai
chmod u+x build_with_docker_compose.sh
./build_with_docker_compose.sh

在这里插入图片描述
docker ps -a看一下起的容器
在这里插入图片描述
登录web
在这里插入图片描述
首次使用默认账号 admin/admin 登录,配置 OpenAPI 服务地址,即可完成基本的环境安装和配置。

项目初体验

以 Webgoat 作为靶场,新建项目,加载 agent,正常访问 web 应用,触发 api 检测漏洞。

webgoat项目地址:https://github.com/WebGoat/WebGoat

加载代理

java  -javaagent:agent.jar  -Dproject.name=webgoat    -jar webgoat-server-8.1.0.jar --server.port=10133 --server.address=192.168.40.86

注意:-Dproject.name=与创建的项目名称保持一致,agent将自动关联至项目;如果不配置该参数,需要进入项目管理中进行手工绑定。
在这里插入图片描述
访问靶场webgoat后,查看IAST检测到的漏洞
在这里插入图片描述

其他功能,还在试用中,以后更新…

Passer798
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--68--洞态IAST部署及使用
武天旭的博客
01-21 2643
前不久【洞态IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏洞外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
web渗透--66--基于Springboot的Docker部署OpenRASP-IAST
武天旭的博客
01-15 1582
线上部署部署在测试环境 前话 1、rasp新版本(1.3.0之后)因为官方将IAST控制台与cloud控制台合并,从而导致新控制台下无法实现自动开启扫描(官方放弃该功能就是因为新控制台下无法实现)。 2、rasp新版本(1.3.0之后)新增的功能类库信息扫描是一个非常有价值的功能,这个功能在老版本中没有。
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST 原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链 项目介绍 “火线〜洞态IAST”是成套专为甲方安全人员,甲乙代码审计工程师和0自动化挖掘0天。 “火线〜洞态IAST”具有五大模块,分别是dongtai-webapi dongtai-openapi , dongtai-webapi dongtai-openapi , dongtai-openapi dongtai-engine , dongtai-web , agent ,其中: dongtai-webapi用于与dongtai-webapi dongtai-web交互,负责用户相关的API请求; dongtai-openapi用于与agent交互,处理agent上报的数据,向agent
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等情况,尤其是使用了自定义的过滤函数 二, :rocket:火线〜洞态IAST极速体验 快速开始请查看 三,检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql,mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 头注入 XXE 不安全的readline 不安全的重新 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置安全 反射注入 第三方组件收集及防御检测 四,问答区
DongTai--被动型IAST工具部署体验
09-07 1446
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。 在...
一篇文章了解DongTai IAST
lym003的博客
05-11 839
洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义。
DongTai 被动型IAST工具
09-06 733
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高检出率、低误报率、低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点链路不准确、误报等情况,尤其是使用了自定义的过滤函数 二、:rocket: 火线~洞态IAST极速体验 快速开始请查看 三、检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql、mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 header头注入 XXE 不安全的readline 不安全的重定向 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置secure 反射注入 第三方组
dongtai-go-agent 靶场.zip
最新发布
01-16
通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想...
洞态IAST落地实践
phantoms007的博客
06-17 1618
刚开始,笔者测试百度OpenRASP的IAST功能(主动式IAST),OpenRASP的IAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上解决了脏数据的问题,但是出现了很多漏报,而且基于重放HTTP请求的检测方式,对存在签名、防重放之类,无法进行HTTP请求重放的接口来说,...
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 5114
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
洞态IAST部署及使用(以Tomcat为例)
weixin_45260839的博客
07-14 1540
洞态IAST部署及使用(以Tomcat为例)
IAST技术进阶系列(一):关键语言支持
Innocence_0的博客
08-09 236
交互式应用安全测试)是应用程序在进行自动化测试、人工测试等任何与应用程序进行“交互”的同时,能自动分析应用程序安全风险的技术。它可以实时返回结果,因此不会额外增加CI/CD的时间。相比于其他AST技术,IAST只会分析“交互”产生时所影响到相关代码的安全风险,而不是扫描所有代码、配置文件或遍历整个站点。IAST更适合在QA环节使用,让安全团队在相对不影响开发、测试现有流程的情况下,较早地发现应用程序中存在的安全风险。
IAST 被动扫描 WebGoat
qq_16224495的博客
05-06 637
IAST 被动扫描 WebGoat 一、部署IAST 参考官网https://doc.dongtai.io/docs/getting-started/server/deploy-docker-compose centos7中使用docker-compost快速部署 1、克隆存储库 git clone https://github.com/HXSecurity/DongTai.git 2、更新代码 git pull 3、切换至目录 cd DongTai/deploy/docker-compose/ 4、部署
一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈
热门推荐
liqiuman180688的博客
04-19 2万+
袁新平@默安科技 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyo...
RASP之IAST扫描器的安装及使用
Jiajiajiang_的博客
01-09 3196
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 Elatic...
洞态IAST自动检测S2-001漏洞
weixin_40418457的博客
04-30 275
一、使用Dongtai-IAST检测S2-001漏洞 1. 启动在线靶场 登陆在线靶场:http://labs.iast.huoxian.cn:8081,启动`S2-001`环境,等待环境启动之后,点击**访问靶场**按钮即可前往靶场环境。该环境来源于`vulhub`和`vulapps` 2. 登陆**洞态IAST**网站:http://iast.huoxian.cn:8000/,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.strut
安全左移|洞态IAST构建高效DevSecOps流程
weixin_40418457的博客
09-29 624
9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。 本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。 01 IAST的时代需要 #安全测试是应用开发的必要环节 自2016年以来,随着《中华人民共和国网络安全法》、《中华
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1545
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
Android Listview dongtai
05-18
动态展示数据的ListView在Android开发中非常常见,以下是一个简单的实现步骤: 1.创建一个ListView控件,可以在xml文件中进行创建或者在Java代码中动态创建。 2.创建一个适配器,将数据与ListView绑定。适配器需要继承BaseAdapter类,并重写以下四个方法: - getCount():返回ListView中的数据项个数。 - getItem():返回指定位置的数据项。 - getItemId():返回指定位置的数据项ID。 - getView():返回指定位置的数据项视图。 3.将适配器设置给ListView控件,调用setAdapter()方法。 4.在适配器中getView()方法中,可以使用LayoutInflater来加载数据项的布局文件,并将数据填充到布局中。 5.在Activity中,通过获取数据源并更新适配器来动态展示数据。 下面是一个示例代码: MainActivity.java ``` public class MainActivity extends AppCompatActivity { private ListView mListView; private MyAdapter mAdapter; private List<String> mDataList; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); initData(); initView(); } private void initData() { mDataList = new ArrayList<>(); for (int i = 0; i < 20; i++) { mDataList.add("Item " + i); } } private void initView() { mListView = findViewById(R.id.list_view); mAdapter = new MyAdapter(); mListView.setAdapter(mAdapter); } private class MyAdapter extends BaseAdapter { @Override public int getCount() { return mDataList.size(); } @Override public Object getItem(int position) { return mDataList.get(position); } @Override public long getItemId(int position) { return position; } @Override public View getView(int position, View convertView, ViewGroup parent) { ViewHolder viewHolder; if (convertView == null) { convertView = LayoutInflater.from(MainActivity.this).inflate(R.layout.item_list_view, null); viewHolder = new ViewHolder(); viewHolder.mTextView = convertView.findViewById(R.id.text_view); convertView.setTag(viewHolder); } else { viewHolder = (ViewHolder) convertView.getTag(); } String data = mDataList.get(position); viewHolder.mTextView.setText(data); return convertView; } private class ViewHolder { private TextView mTextView; } } } ``` activity_main.xml ``` <RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" android:layout_width="match_parent" android:layout_height="match_parent"> <ListView android:id="@+id/list_view" android:layout_width="match_parent" android:layout_height="match_parent"/> </RelativeLayout> ``` item_list_view.xml ``` <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/text_view" android:layout_width="match_parent" android:layout_height="wrap_content" android:padding="10dp" android:textSize="16sp"/> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值