IAST 被动扫描 WebGoat

最新推荐文章于 2023-05-11 16:22:44 发布
最新推荐文章于 2023-05-11 16:22:44 发布
阅读量632 收藏
点赞数
分类专栏: Docker 安全 文章标签: iast webgoat jdk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16224495/article/details/124608121
版权

IAST 被动扫描 WebGoat

一、部署IAST

参考官网https://doc.dongtai.io/docs/getting-started/server/deploy-docker-compose

centos7中使用docker-compost快速部署

1、克隆存储库

git clone https://github.com/HXSecurity/DongTai.git

2、更新代码

git pull

3、切换至目录

cd DongTai/deploy/docker-compose/

4、部署最新版本

./dtctl install

二、配置WebGoat环境

1、启动Centos 7

2、安装oracle java 18

参考https://blog.csdn.net/qq_16224495/article/details/124488254进行安装jdk18

wget https://download.oracle.com/java/18/archive/jdk-18_linux-x64_bin.tar.gz
unzip jdk-18_linux-x64_bin.tar.gz 
mkdir /usr/local/javacd /usr/local/java
tar -zxvf jdk-18_linux-x64_bin.tar.gz 
mv jdk-18.0.1/ /usr/local/java/

vi /etc/profile    #编辑profile文件,追加以下内容

export JAVA_HOME=/usr/local/java/jdk-18.0.1
export CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin

source /etc/profile

java -version

3、下载webgoat

下载最新的webgoat

https://github.com/WebGoat/WebGoat

wget https://github.com/WebGoat/WebGoat/releases/download/v8.2.2/webgoat-server-8.2.2.jar
wget https://github.com/WebGoat/WebGoat/releases/download/v8.2.2/webwolf-8.2.2.jar

4、启动webgoat

java -jar webgoat-server-8.2.2.jar --server.port=80 --server.address=0.0.0.0

5、编制脚本iast被动扫描webgoat

startup.sh 内容如下

nohup java -javaagent:agent.jar -Dproject.name=win-webgoat -jar webgoat-server-8.2.2.jar --server.port=80 --server.address=0.0.0.0 &

三、检查IAST是否被动扫描

哔哔哔Lab
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IAST安全扫描原理
superprintf的博客
01-05 5616
IAST:交互式应用程序安全测试(Interactive Application Security Testing),是黑盒测试(SAST),白盒测试(DAST)结合优点而成的灰盒测试 其交互性体现在agent和扫描器之间的交互,分为三类,1.主动型,2.被动型(流量型暂不考虑在内,因为未实现agent) 主动IAST agent使用java动态代理,在程序运行时修改字节码插入代码(即插庄)。 1.agent部署:agent会是一个jar文件,程序运行的时候设置代理为agent,比如运行java程序的时候
IAST 工具初探
05-26 1273
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
干货分享 | 一文了解交互式应用程序安全测试(IAST)技术
weixin_55163056的博客
04-17 780
通过代理和在服务端部署的agent程序,收集、监控Web应用程序运行时的请求数据、函数执行,并与扫描器端进行实时交互,高效、准确地识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。agent的职责分为两部分,应用启动时,负责对应用中的目标方法或者函数(执行漏洞的方法或函数)进行插桩,给目标方法加上一个代理层。而与DAST相比,DAST则很难定位到与漏洞相关的代码行,IAST可以提供详细信息,例如带有漏洞的代码位置,完整的数据流和堆栈信息,以帮助安全和开发团队进行安全漏洞修复。
DongTai被动IAST工具部署
Bird&Bird
09-22 944
目录概述实现原理IAST部署项目初体验 概述 IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。 实现原理 IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式。 代理模式,在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。
DongTai--被动IAST工具部署体验
09-07 1414
被动IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。 在...
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
DongTai-Doc:东台 IAST 文档
08-03
1.火线~洞态IAST属于被动IAST,不需要重放数据包,不产生脏数据; 2.被动IAST具有近实时检测、高检出率、低误报率、低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点链路不准确、误报等...
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
计算ISAT的matlab程序 基于理想吸附理论
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 ...IAST-插桩被动型I(动态污点分析)IAST实现原理
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
1.火线〜洞态IAST属于被动IAST,不需要重新数据包,不产生脏数据; 2.被动IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等...
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1522
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
一篇文章了解DongTai IAST
lym003的博客
05-11 761
洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义。
当我安装第n次 WebGoat 8.2.2终于成功了!!!(Windows)
kuba172404823的博客
11-13 1086
安装一直发生错误,一般不行就是java版本不行和webgoat不匹配,可以试试多下几个版本,建议用最新版webgoat(这里是webgoat8.2.2.jar + jdk-18.0.2.1版本)
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9737
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
应用安全测试技术DAST、SAST、IAST对比分析
qq_50854662的博客
10-06 1124
应用安全测试技术DAST、SAST、IAST对比分析
RASP之IAST扫描器的安装及使用
Jiajiajiang_的博客
01-09 3172
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 Elatic...
主动扫描被动扫描
热门推荐
奔狼
08-29 1万+
之前要实现wifi上的探针模块,简单了了解了802.11中的各种帧,对一些帧的发送频率和方式也有简单了解。不过了解的都不够细致。只是简单知道手机打开wifi后回不停的向外发送probe request这个帧,然后也在不停的监听当前信道上AP广播过来的beacon帧。这里详细介绍一下802.11中的主动扫描被动扫描。 主动扫描被动扫描是在手机的角度来说,手机为了发现AP,必须进行扫描,通过扫描
Web安全攻防靶场之WebGoat – 3
DarkN0te
02-24 1501
文章目录概述ChallengeAdmin lost passwordWithout passwordCreating a new accountAdmin password resetWithout account 概述 这是 WebGoat 的最后一部分,主要内容是 WebGoat中的Challenge,前面还有 1 和 2。 Challenge Admin lost password 本题目的...
理想溶液吸附理论IAST
最新发布
01-09
理想吸附溶液理论(IAST)是一种用于计算多组分气体混合物在吸附剂上的吸附量的理论模型。IAST假设各组分在吸附剂上的吸附是独立的,并且各组分之间没有相互作用。根据IAST,可以使用以下公式计算各组分的吸附量: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值