渗透测试常用工具总结——DAST、SAST、IAST

已于 2023-01-05 13:02:46 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: 信息安全工具 文章标签: 安全 web安全 java
于 2023-01-03 19:06:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/128530495
版权

目录

 (一)DAST

  (二)SAST

0x01 PHP

0x02 .NET

0x03 JAVA

0x04 Python

0x05 JS

0x06 Go

0x07 Ruby

(三)IAST

1、火线洞态测评报告

0x01 介绍

0x02 安装

0x03 控制台

0x04 测试平台

0x05 

图 1-1 常用测试工具

 (一)DAST

AppScan内部、外部手工扫描_@Camelus的博客-CSDN博客_appscan如何使用外部浏览器扫描

Nessus安装与使用_@Camelus的博客-CSDN博客_nessus安装

AWVS扫描web站点_@Camelus的博客-CSDN博客_awvs扫描有登录的页面

【第 7 章】Xray 服务器篇 | Project X

  (二)SAST

0x01 PHP

  • Seay源代码审计系统
  • RIPS
  • CheckMarx
  • Fortify
  • VCG
  • Kunlun-M

0x02 .NET

  • VCG
  • Fortify
  • CheckMarx

0x03 JAVA

  • Fortify
  • CheckMarx

0x04 Python

  • Bandit
  • CheckMarx

0x05 JS

  • Kunlun-M
  • NodeJsScan
  • CheckMarx

0x06 Go

  • Gosec
  • CheckMarx

0x07 Ruby

  • brakeman
  • Cobra

多功能:

GitHub - FeeiCN/Cobra: Source Code Security Audit (源代码安全审计)

(三)IAST

图 3-1 常用IAST平台

相当于黑盒和白盒配合进行审计,交互式进行测试,要配置代理,把流量注入转发到平台。

1、火线洞态测评报告

0x01 介绍

概览 | 洞态文档

0x02 安装

GitHub - HXSecurity/DongTai: DongTai is an interactive application security testing(IAST) product that supports the detection of OWASP WEB TOP 10 vulnerabilities, multi-request related vulnerabilities (including logic vulnerabilities, unauthorized access vulnerabilities, etc.), third-party component vulnerabilities, etc.

图 3-1 在idea里面安装插件

只能支持springBoot环境启动

0x03 控制台

火线

0x04 测试平台

https://labs.last.huoxian.cn/#/images/index

火线

@Camelus
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
悬镜安全SAST,DASTIAST分不清?看这篇就够了!
Anprou的博客
10-16 2799
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DASTIAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
安全测试工具分为 SAST、DASTIAST 您知道吗?
liwenxiang629的博客
11-20 655
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DASTIAST。本文就带大家快速的了解这三者的本质区别!
一文搞懂:开发安全中的SAST、DASTIAST和RASP
最新发布
qq_21408865的博客
06-05 690
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
YvesHe的专栏
10-13 342
一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyou.com被曝存在SQL注入漏洞,黑客利用此漏洞获取到3200万用户记录(包括E-mail、姓名及明文形式的密码)。 201
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
安全开发基础 -- DASTSAST,IAST简单介绍
qq_61039408的博客
03-06 1416
通过爬虫发现整个 Web 应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数;根据爬虫的分析结果,对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试(扫描规则库);通过对于 Response 的分析验证是否存在安全漏洞。
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3892
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DASTSAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 DAST-代理型WEB扫描器 IAST-插桩主动型IAST IAST-插桩...
关于基于IAST技术的灰盒安全测试工具产品分析的分析说明.zip
11-05
SAST的源代码分析和DAST的黑盒/白盒测试不同,IAST工具可以在不干扰应用程序正常运行的情况下,获取到内部执行逻辑,从而更准确地识别安全问题。 2. **灰盒测试概述** 灰盒测试介于黑盒(仅测试外部行为)和白盒...
「数据安全」基于IAST技术_灰盒安全测试工具产品分析 - 网络安全.zip
11-27
IAST(Interactive Application Security Testing,交互式应用程序安全测试)是一种新兴的技术,它融合了静态代码分析(SAST)和动态应用安全测试(DAST)的优势,为数据安全提供了更全面的解决方案。IAST工具能够在...
HCL AppScan Standard v10.5.0 (Windows) - Web 应用程序安全测试
05-08
市场领先的应用程序安全解决方案(SAST、DASTIAST、SCA、API) HCL AppScan 市场领先的应用程序安全解决方案 HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命...
SAST、DASTIAST几种测试工具的比较
jimmyleeee的专栏
07-02 6766
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
IAST 工具初探
05-26 1285
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1425
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
网络安全通识全解|第18期 DASTSAST、IAST——Web应用安全测试技术
Tianqi_Wukong的博客
11-08 5429
在互联网高度发达的当下,智能化的软件成为商业决策、推广等不可缺少的利器,很多软件涉及了客户商业上重要的信息资料,一个细小的安全漏洞,将有可能对客户造成巨大影响。因此,软件安全测试的重要性不言而喻。 Web应用安全测试技术经过多年的发展,目前业界常用的技术主要分为以下3大类别。 DAST(动态应用程序安全测试) DAST是一种黑盒测试技术,是目前应用最广泛,使用最简单的一种Web应用安全测试方法。 技术原理 1、通过爬虫发现整个Web应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数
DongTai 被动型IAST工具
09-06 733
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
SAST,DASTIASTSAST,DASTIAST区别及原理
无为
03-26 714
SAST,DASTIAST区别及原理
为什么都在选择IAST作为安全漏洞检测工具
xlsj雪松的博客
03-18 464
为什么都在选择IAST作为安全漏洞检测工具
软件开发安全左移最佳工具-iast
securitypaper的博客
06-07 531
交互式应用程序安全测试(IAST)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent 程序,收集、监控 Web 应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。- 来源[信通院 研发运营安全白皮书-2020年](http://www.github5.com/view/266) .........
安装运行DASTSAST、IAST工具至少各一种,设计对比实验
06-13
最后,IAST(交互式应用程序安全测试)工具是一种结合了DASTSAST的工具,它可以在运行时检测到应用程序中的漏洞,并同时分析源代码以确定漏洞的根本原因。常见的IAST工具包括:Contrast Security、Rapid7、Qualys...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值