渗透测试常用工具总结——DAST、SAST、IAST

已于 2023-01-05 13:02:46 修改
阅读量1.2k 收藏 4
点赞数
分类专栏: 信息安全工具 文章标签: 安全 web安全 java
于 2023-01-03 19:06:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/128530495
版权

目录

 (一)DAST

  (二)SAST

0x01 PHP

0x02 .NET

0x03 JAVA

0x04 Python

0x05 JS

0x06 Go

0x07 Ruby

(三)IAST

1、火线洞态测评报告

0x01 介绍

0x02 安装

0x03 控制台

0x04 测试平台

0x05 

图 1-1 常用测试工具

 (一)DAST

AppScan内部、外部手工扫描_@Camelus的博客-CSDN博客_appscan如何使用外部浏览器扫描

Nessus安装与使用_@Camelus的博客-CSDN博客_nessus安装

AWVS扫描web站点_@Camelus的博客-CSDN博客_awvs扫描有登录的页面

【第 7 章】Xray 服务器篇 | Project X

  (二)SAST

0x01 PHP

  • Seay源代码审计系统
  • RIPS
  • CheckMarx
  • Fortify
  • VCG
  • Kunlun-M

0x02 .NET

  • VCG
  • Fortify
  • CheckMarx

0x03 JAVA

  • Fortify
  • CheckMarx

0x04 Python

  • Bandit
  • CheckMarx

0x05 JS

  • Kunlun-M
  • NodeJsScan
  • CheckMarx

0x06 Go

  • Gosec
  • CheckMarx

0x07 Ruby

  • brakeman
  • Cobra

多功能:

GitHub - FeeiCN/Cobra: Source Code Security Audit (源代码安全审计)

(三)IAST

图 3-1 常用IAST平台

相当于黑盒和白盒配合进行审计,交互式进行测试,要配置代理,把流量注入转发到平台。

1、火线洞态测评报告

0x01 介绍

概览 | 洞态文档

0x02 安装

GitHub - HXSecurity/DongTai: DongTai is an interactive application security testing(IAST) product that supports the detection of OWASP WEB TOP 10 vulnerabilities, multi-request related vulnerabilities (including logic vulnerabilities, unauthorized access vulnerabilities, etc.), third-party component vulnerabilities, etc.

图 3-1 在idea里面安装插件

只能支持springBoot环境启动

0x03 控制台

火线

0x04 测试平台

https://labs.last.huoxian.cn/#/images/index

火线

@Camelus
关注
专栏目录
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 473
应用程序安全是个永恒的话题,而SAST、DASTIAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
墨痕诉清风的博客
06-01 1533
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。
DAST 已死,为何业务逻辑安全测试成为焦点
网络研究观
04-21 3621
业务逻辑安全测试无疑将成为确保 API 安全的中心舞台。
悬镜安全SAST,DASTIAST分不清?看这篇就够了!
Anprou的博客
10-16 2846
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DASTIAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
最新发布
网络研究观
06-30 2166
本综合指南将探讨 DAST渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST渗透测试之间的关系。
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
安全开发基础 -- DASTSAST,IAST简单介绍
qq_61039408的博客
03-06 1469
通过爬虫发现整个 Web 应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数;根据爬虫的分析结果,对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试(扫描规则库);通过对于 Response 的分析验证是否存在安全漏洞。
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3962
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DASTSAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
详解安全测试工具SAST、DASTIAST、SCA的异同
qzt961003的博客
08-25 5061
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试
网络安全通识全解|第18期 DASTSAST、IAST——Web应用安全测试技术
Tianqi_Wukong的博客
11-08 5487
在互联网高度发达的当下,智能化的软件成为商业决策、推广等不可缺少的利器,很多软件涉及了客户商业上重要的信息资料,一个细小的安全漏洞,将有可能对客户造成巨大影响。因此,软件安全测试的重要性不言而喻。 Web应用安全测试技术经过多年的发展,目前业界常用的技术主要分为以下3大类别。 DAST(动态应用程序安全测试) DAST是一种黑盒测试技术,是目前应用最广泛,使用最简单的一种Web应用安全测试方法。 技术原理 1、通过爬虫发现整个Web应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数
SAST、DASTIAST几种测试工具的比较
jimmyleeee的专栏
07-02 6817
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
IAST 工具初探
05-26 1309
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
一文搞懂:开发安全中的SAST、DASTIAST和RASP
qq_21408865的博客
06-05 1423
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1474
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
DongTai 被动型IAST工具
09-06 743
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
SAST,DASTIASTSAST,DASTIAST区别及原理
无为
03-26 911
SAST,DASTIAST区别及原理
为什么都在选择IAST作为安全漏洞检测工具
xlsj雪松的博客
03-18 501
为什么都在选择IAST作为安全漏洞检测工具
安装运行DASTSAST、IAST工具至少各一种,设计对比实验
06-13
好的,我可以为您提供一些关于DASTSAST、IAST工具的信息以及如何进行对比实验。 首先,DAST(动态应用程序安全测试)工具是一种测试Web应用程序安全性的工具,它通过模拟攻击来检测应用程序中的漏洞。常见的DAST工具包括:Burp Suite、OWASP ZAP、Netsparker等。 其次,SAST(静态应用程序安全测试)工具是一种分析源代码的工具,以检测可能导致安全漏洞的代码。常见的SAST工具包括:Checkmarx、Veracode、Fortify等。 最后,IAST(交互式应用程序安全测试)工具是一种结合了DASTSAST的工具,它可以在运行时检测到应用程序中的漏洞,并同时分析源代码以确定漏洞的根本原因。常见的IAST工具包括:Contrast Security、Rapid7、Qualys等。 对于如何进行对比实验,您可以考虑以下几个方面: 1.功能比较:比较不同工具的功能和特性,如检测准确性、可扩展性、易用性等。 2.效率比较:比较不同工具在检测漏洞时的效率和速度。 3.成本比较:比较不同工具的成本和使用成本,包括购买费用、维护费用等。 4.实际应用:将不同工具应用于实际项目中,并比较它们在实际环境中的表现和效果。 需要注意的是,这些工具的适用情况和效果会因为具体的应用环境、应用程序的类型和规模、测试人员的技能等因素而有所不同,因此在进行对比实验时需要对具体情况进行分析和评估。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值