IAST技术知识-Java环境Agent部署知识干货分享

最新推荐文章于 2024-06-17 10:27:38 发布
最新推荐文章于 2024-06-17 10:27:38 发布
阅读量408 收藏
点赞数
文章标签: java tomcat 开发语言 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tcsecXD/article/details/125218483
版权

场景导入
目前IAST应用环境中,Java应用占据了90%以上。传统IAST对Java应用进行Agent安装时,需要修改Tomcat、WebLogic等的启动脚本,增加javaagent参数来实现Agent的安装加载。

对于安装人员来说,Agent安装需要知悉Web容器的安装路径,并且需要对每个容器的启动脚本进行修改,最后重启Web容器,完成Agent的安装。

在实际的使用过程中,部署人员常常由于脚本修改不当、找不到Web容器等问题导致安装失败。除此之外,当团队需要对几百上千个应用进行安装测试时,对安装人员来说将是一项异常艰巨的任务。此外,若后期需要对Agent进行升级或者卸载操作也将是一场运维灾难。
Agent部署技术基础
JDK从1.5版本开始引入了java.lang.instrument包,可以通过其更方便地实现字节码增强。核心功能由java.lang.instrument.Instrumentation提供,这个接口的方法提供了注册类文件转换器、获取所有已加载的类等功能,允许对已加载和未加载的类进行修改。
在JDK5中,开发人员只能在JVM启动时指定一个java agent,在premain中操作字节码,这种Instrumentaion方式仅限于main方法执行前,存在很大的局限性。从JDK6开始引入了动态Attach Agent的方案,可以在JVM启动后任意时刻远程加载Agent,jstack、jps、jmap等工具都是利用Attach API来实现的。
Instrumentation的第一种使用方式是通过JVM的启动参数-javaagent来启动,一个典型的使用方式如下所示:

最低0.47元/天 解锁文章
tcsecXD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
zabbix的agent部署与监控流程
happy___life的博客
05-17 1632
zabbix的agent部署 agent部署(linux) 实验环境 server端 agent端 ip 192.168.10.40 192.168.10.30 环境 centos8 centos8 实验流程 1.server端启动zabbix_server 2.agent端安装zabbix、启动zabbix_agent、配置agent 3.在ui界面添加主机 实验过程 server端 [root@C82 ~]# zabbix_server [root@C82 ~]# zabb
JAVA agentmain 热更新
spring的博客
03-13 533
java服务热更新服务器
4.部署agent2
weixin_45221811的博客
07-21 1047
agent2采用golang开发。zabbix5.0使用agent2,默认使用10050端口,新旧版本不能同时存在
七、VMware Horizon 8 部署Agent组件并发布桌面
最新发布
When_the_wind_bl的博客
06-17 636
这里选择手动桌面池, (自动桌面池相当于共享电脑,手动桌面池相当于独享电脑,RDS桌面池相当于共享服务器,可以多人连接到服务器)安装完成需要重启,重启完关机,在vsphere client给虚拟机创建快照。先选择AD域名,在输入AD域管理员名称,选择描述为管理计算机(域)的内置账户。点击计算机,查找虚拟机状态,显示为可用表示正常,Agent组件安装和部署完成。3、登录Connection,在桌面池,点击添加。这里需要给它进行授权,点击授权,添加授权。这里根据需求选择,我这里默认,下一步。
Java Agent介绍及其使用
ClarkCC的博客
05-20 9523
一、简介 Java Agent技术,也被称为Java代理、Java探针,它允许程序员利⽤其构建⼀个独⽴于应⽤程序的代理程序。 Java Agent 本质上就是一个 jar 包,对于普通的Jar包,通过指定类的 main 函数进行启动,但是 Java Agent 并不能单独启动,必须依附在一个 Java 应用程序运行。使用Java Agent可以实现在Java程序运行的过程中对其进行修改。 Java Agent的jar包主要包含两个部分:实现代码与配置文件...
[Weblogic]startWebLogic.cmd配置JAVA_OPTIONS无效的解决思路与方案
aew95547的博客
05-06 985
事情背景: 由于某个项目原因,需要在2个域的startWebLogic.cmd文件加入如下设置 set JAVA_OPTIONS=%JAVA_OPTIONS% -javaagent:"path\xx.jar" 同样的设置,一个域成功,一个域失败。失败的域在启动weblogic时发现jar包无加载成功,同时亦无日志输出报错。 原因寻找思路: 1、首先添加确保语句正确无误 2、从...
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链项目介绍“火线〜洞态IAST...
IAST实践分享 - 安全技术资料汇总(共2份).zip
02-06
在当今快速发展的信息技术环境中,安全问题已经成为企业关注的焦点。为了确保软件开发过程的安全性,业界引入了集成应用程序安全测试(IAST,Integrated Application Security Testing)这一创新技术。本资料汇编...
openrasp-iast:IAST 灰盒扫描工具
05-12
【标题】:OpenRASP-IAST:灰盒扫描工具详解 【正文】: OpenRASP-IAST(Interactive Application Security Testing,交互应用程序安全测试)是一款强大的灰盒扫描工具,它专注于提升软件的安全性,尤其在开发和...
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互应用安全评估工具(被动) 一、简介 1.火线~洞态IAST属于被动IAST,不需要重放数据包,不产生脏数据; 2.被动IAST具有近实时检测、高...
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
标题中的“IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_”表明这个压缩包可能包含一个关于理想吸附理论(Ideal Adsorbed Solution Theory, 简称IAST)的项目或者代码库,特别是针对ISAT( Ideal ...
Java之JMX-tomcat、weblogic配置
dengyiyu5280的博客
11-05 205
1.修改Tomcat目录下的bin/catalina.sh。 2.在该文件中查找以下内容 #-----ExecuteTheRequestedCommand----------------------------------------- 添加一下代码 CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxre...
weblogic设置JVM的几个参数说明
alexander zhou的专栏
02-19 6294
若weblogic每个domain域下的startweblogic.sh(startweblogic.cmd)配置的jvm参数设置如下:          1.set MEM_ARGS=-Xms512m -Xmx512m        2.set MEM_PERM_SIZE=-XX:PermSize=512m        3.set MEM_MAX_PERM_SIZE=-XX:MaxPe
skywalking agent部署
weixin_43745330的博客
04-20 5428
文章目录一 说明二 探针配置方1 修改catalina.sh(以tomcat为例)方2 启动命令中添加参数javaagent、Dskwalking.agent.service_name三 展示效果 一 说明 SkyWalking Agent探针有区别于jmx探针,jvm探针的数据是被拉取到的,而SkyWalking Agent探针的数据需要主动推送给SkyWalking的。所以我们需要配置一些东西。 skywalking agent文件夹见附件(agent文件夹里面包含skywalking-agen
源码分析 - 洞态IAST JAVA agent如何实现AOP
weixin_40418457的博客
06-17 348
前言 IAST JAVA agent方法调用链,污点值传播等信息的采集功能的实现很大程度上依赖着AOP,IAST JAVA agent是怎么实现AOP的呢,请继续往下看。 源码分析 首先我们来看一下 ENGINEENTRYPOINTCLASS 即 com.secnium.iast.core.AgentEngine这个类。 install方法通过反射被调用,入参里的Instrumentation inst对AOP功能的实现十分重要,我们继续跟着inst看下去。agentEngine.init(mode,
java agent_java agent 使用及实现代码
weixin_39854440的博客
02-16 508
java agent的作用在字节码这个层面对类和方法进行修改的技术,能够在不影响编译的情况下,修改字节码。可以理解spring的aop技术如何实现1.实现javaagent需要实现premain方法2.必须在MANIFEST.MF文件中有Premain-Classdemo实现agentpackage com.xueyou.demo.agent;import javassist.ClassPool;...
DevOps专题|基础Agent部署系统
京东科技开发者
12-27 2200
随着京东云业务规模、管理机器规模的扩大,各类agent也在逐渐增多,如日志agent、监控agent、控制系统agent等。这对agent部署升级、状态维护提出了很高的要求,一旦某个全局agent进行了错误地部署升级,可能会导致agent的资源使用率过高,进而会对全公司的业务产生影响。在此背景下需要有一个统一管理系统来对全网agent部署升级进行管控,可以灵活的指定不同的发布策略进行灰...
Zabbi Agent 主被动 && Proxy 的代理
weixin_40172997的博客
04-01 880
Agent 主动 与 被动 1、zabbix agent主动模与被动模的区别 zabbix agent的运行模有以下两种: 1)、被动模:此模为zabbix默认的工作模,由zabbix server 向zabbix agent 发出指令获取数据,zabbix agent被动地去获取数据并返回给zabbix server,zabbix server会周期性地向agent索取数据。此模...
洞态IAST内网私有化部署详细方案
05-29
首先需要确认部署洞态IAST的服务器环境是否符合洞态IAST的要求。具体要求可以参考洞态IAST官方文档。需要注意的是,服务器环境需要满足以下要求: - 操作系统:CentOS 7.2及以上版本,或者Ubuntu 16.04及以上版本。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值