openrasp-iast 灰盒扫描工具

已于 2023-03-13 15:31:54 修改
阅读量691 收藏 5
点赞数
文章标签: docker linux java php 运维
于 2021-05-25 21:04:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/117275571
版权

openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。在这里,我们通过docker部署控制台,接入一个PHP应用进行测试体验。

一、快速搭建环境

使用容器快速搭建一整套的测试环境,包含 IAST 扫描器、OpenRASP 管理后台 以及 漏洞测试用例。

sudo sysctl -w vm.max_map_count=262144

git clone https://github.com/baidu-security/openrasp-iast.git
cd openrasp-iast/docker/iast-cloud
docker-compose up

http://127.0.0.1:18662/vulns/ 触发PHP测试用例

http://127.0.0.1:18660/ 云控后台(账号openrasp/admin@123)

二、接入一个PHP应用程序

(1)使用lnmp一键安装PHP环境,导入dvwa源码运行。

wget http://soft.vpser.net/lnmp/lnmp1.7.tar.gz -cO lnmp1.7.tar.gz && tar zxf lnmp1.7.tar.gz && cd lnmp1.7 && ./install.sh lnmp

(2)使用默安账户登录控制台,添加一个新应用。

(3)切换到新的应用test,点击右上角的添加主机,安装agent。

PS:遇到重启PHP服务报错,需要查看openrasp.so 路径,如复制不成功,手工复制过去即可。

 (4)安装iast扫描器

wget https://packages.baidu.com/app/openrasp/openrasp-iast-latest -O /usr/bin/openrasp-iast

复制上面的最后一个url,设置为Fuzz 服务器地址。

(5)启动扫描,访问站点触发。

(6) 查看漏洞列表

Bypass--
关注
web渗透--66--基于Springboot的Docker部署OpenRASP-IAST
武天旭的博客
01-15 1627
线上部署,部署在测试环境 前话 1、rasp新版本(1.3.0之后)因为官方将IAST控制台与cloud控制台合并,从而导致新控制台下无法实现自动开启扫描(官方放弃该功能就是因为新控制台下无法实现)。 2、rasp新版本(1.3.0之后)新增的功能类库信息扫描是一个非常有价值的功能,这个功能在老版本中没有。
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
灰盒测试—工具
weixin_30879833的博客
07-11 668
IECookiesView: 一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限..等等资料。 InstallWatchPro: 踪安装或卸载软硬件时系统设置的有关变化, 包括文件、INI 文件、注册表, 所有的信息储存在数据库里, 可以生成有关报告, 注册表部分还可以导出 R...
OpenRASP 初探(三)之 IAST
sacredbook的博客
06-06 3005
前言 Openrasp 初探系列最后一篇,前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署,感兴趣可以移步:OpenRASP 初探(一)之项目介绍、OpenRASP 初探(二)之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。 (2020.5.4 京东通州大运河畔) 一、IAST 简介 其实在第一篇中也介绍过 iast 的一些技术背景,这里再作下补充,以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起
一直没搞懂灰盒测试的我,收藏了这篇文章
03-12 6361
在本文中,我们将了解什么是灰盒测试以及为什么要使用它,以及它的优缺点。 在软件测试中,灰盒测试是一种有用的技术,可以确保发布的软件是高性能的、安全的并满足预期用户的需求。这是一种从外部测试应用程序同时跟踪其内部操作的便捷方法。 灰盒测试结合了黑盒和白盒测试的优点。这种类型的测试是在对应用程序的底层代码和架构了解有限的情况下完成的,它可以手动或自动完成。 01、什么是灰盒测试 灰盒测试将白盒测试的代码指定策略与功能测试和回归测试等各种发现测试方法相结合。软件的内部工作和用户界面都由测试人员评估。 这
选择灰盒安全测试工具,看准以下几点
Anprou的博客
11-06 1015
渗透测试是模拟黑客攻击站在第三方的角度上来测试系统的安全性,通过渗透测试发掘企业系统潜在的安全漏洞。通过对网站及APP应用等,进行非破坏性质的入侵攻击,获取系统权限,并将入侵过程和漏洞细节编写成测试报告,及时提醒企业客户完善安全策略,降低安全运营风险能力。 目前渗透测试主要分为以下三类。 黑盒测试 黑盒测试(Black-box Testing)也称为外部测试(External Testing...
RASPIAST扫描器的安装及使用
Jiajiajiang_的博客
01-09 3243
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 Elatic...
洞态IAST源码分析及吐槽
weixin_40418457的博客
05-21 900
0x01 前情提要 北京时间11点42分,正准备划 20 分钟水去吃午饭,园长突然跟我说过火线的 IAST 突然开源了,原名灵芝IAST更名为洞态IAST,真是OMG。 IAST 也是同样使用 agent 技术。同样一种技术,在不同人的手里用法也不同,同一种思路在不同人手里的实现方式也可能存在差异。那么既然他开源了,那就来看一看学习一下他的思路和实现,也顺便测试一下产品,取其精华。 能有这样的产品开源供广大安全从业者测试和学习真的是一件非常好的事,真的是要撒花庆祝,感谢老板。由于明确项目定位是 IAST
干货 | IAST安全测试如何防止数据污染
携程技术
10-15 1504
作者简介Eric,携程资深开发工程师,关注应用安全、渗透测试方面的技术和相关开源产品的二次开发。一、前言携程信息安全部门目前在研究百度OpenRASP技术,让它在携程落地进行服务漏洞扫...
IAST 工具初探
05-26 1312
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
OpenRASP开源的RASP解决方案
08-08
RASP 以探针的形式,将保护引擎注入到应用服务中,可在文件、数据库、网络等多个层面,对应用进行全面的保护。当发生敏感的行为时,可以结合请求上下文进行的判断,并阻断攻击,具有低误报率,低漏报率的优点
IAST灰盒检测技术挖掘Web应用安全漏洞
最新发布
weixin_55163056的博客
06-07 532
随着Web应用的广泛使用,安全性问题也日益受到重视。Web应用面临着各种安全威胁,包括SQL注入、XSS、命令注入等。而传统的安全测试方法往往存在滞后性、误报率高等问题。IAST技术作为一种新兴的安全测试方法,能够在开发过程中实时发现和修复安全漏洞,极大地提高了Web应用的安全性
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1579
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
OpenRASP安装使用教程
weixin_33693070的博客
11-24 1805
一、说明 1.1 RASP和WAF的区别 WAF,Web Application Firewall,应用防火墙。其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包。正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去的人在里面干什么他就不知道了。 RASP,Runtime application self-prot...
常用Web安全扫描工具合集
yyj173637的博客
04-10 1142
初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。一款好用的Web扫描器对于白帽子来说,就像剑客手中的剑一样重要,那么,如何来选择一款合适而好用的Web扫描器呢?今天,我们来介绍一下比较常见的Web安全扫描工具,来给自己挑一把趁手的武器吧。从扫描方式来说,最传统的一种方式就是基于爬虫的,通过爬虫收集网站的所有链接及其参数请求,发送Payload进行漏洞探测。
黑盒,白盒与灰盒测试的比较和区别
unber的博客
11-17 109
黑盒测试,白盒测试与灰盒测试的比较和区别如下所示:
IAST初学
weixin_52206305的博客
07-25 218
IAST是是一个在应用和API中自动化识别和诊断软件漏洞的技术。它是插桩式应用安全测试。IAST的特点是它使用插桩来手机安全信息,直接从运行的代码中发现问题,它不是直接对源代码进行扫描,也不是http扫描。用户可以在IDE中,编写和测试代码的时候就开始使用IASTIAST的使用场景:在开发时阻止漏洞;在生产阶段检测攻击和阻止漏洞。IAST可以直接访问代码,在每行代码执行SAST(源代码扫描),并且可以访问HTTP流量,在用户每一次请求和响应的时候进行类似DAST(HTTP扫描)分析。
开源的IAST灰盒检测工具有哪些
06-01
以下是一些常见的开源的IAST灰盒检测工具: 1. RASP(Runtime Application Self-Protection):一个IAST解决方案,可以在应用程序运行时检测出各种安全漏洞,包括SQL注入、跨站脚本攻击、文件包含漏洞等。 2. ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值