洞态IAST实现思路分享及讨论

最新推荐文章于 2023-05-11 16:22:44 发布
最新推荐文章于 2023-05-11 16:22:44 发布
阅读量1.3k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/117263895
版权

素十八师傅之前对洞态IAST的源码进行了一波深入分析,吐槽了一些地方,首先感谢师傅的精心研究及Diss,其中存在的问题已经基本解决,遗留的问题也在解决中,本文将对分析文章中存在的误解及疑问进行解答。

感谢素十八师傅对洞态IAST代码的分析,文章地址:[> 洞态IAST源码分析及Diss][0]

根据师傅的分析以及提出的疑问,将逐部分进行解答。本文将回答下面3个问题:

  • 洞态IAST开源的java agent应该如何使用?
  • 检测引擎如何区分应用?
  • SCA实现原理
一、如何编译并使用本地Java Agent

通过调试发现自己编译 core 和 inject 没用,他的 agent 无论如何还是会从官网上自己下载这两个 jar 包并放到 temp 目录下,不知道是故意的还是写出来的 bug,因为如果从官网上下载,也只是下载 agent,在运行时动态下载 core 和 inject,应该是最开始打算试用,没打算开源?? -- 作者:素十八

洞态IAST - Java探针分析

洞态IAST的agent部分由agent.jar、iast-core.jar和iast-inject.jar三部分组成。其中:

  • agent.jar用于存放配置、定期拉取云端信息、下载并加载核心检测引擎iast-core.jar和iast-inject.jar
  • iast-inject.jar用于注入至BootStrap ClassLoader,后续在目标应用中调用iast-core.jar中的数据采集方法
  • iast-core.jar是核心jar包,存储数据采集、数据预处理、数据上报等功能

探针启动时,由agent.jar检测当前的启动模式,规则如下:

  • debug模式为false,从云端下载检测引擎并启动
  • debug模式为true,检测本地临时目录中是否存在核心检测引擎
  • 存在,加载本地检测引擎并启动
  • 不存在,从云端下载检测引擎并启动

综上,如果想要试用自己编译的agent,需要指定启动模式为debug-Ddebug=true并将iast-core.jar和iast-inject.jar复制到临时目录中。

编译及配置方法:

仅需四步即可实现修改Agent代码并使用云端环境:

  1. 拉取代码:git clone https://github.com/HXSecurity/DongTai-agent-java.git2. 根据需求,修改agent-java中的代码

  2. 编译Agent

3.1 登陆火线--洞态IAST云端,前往部署页面获取Token和云端服务地址

3.2 将Token和云端服务地址写入iast-agent/src/main/resources/iast.properties文件

3.3 运行maven clean package编译agent

  1. 拷贝检测引擎到临时目录

  2. 运行应用(以SpringBoot应用为例):java -javaagent:/path/to/iast-home/release/iast-agent.jar -Ddebug=true -jar app.jar

二、关于应用识别/区分

检测引擎是如何区分应用的呢? -- 作者:素十八

检测引擎识别应用(项目)存在自动识别和手动配置两种方案,刚开始,我们研究了自动识别应用名称的若干种实现方案,后来发现准确度很难保证,因此最终选择了手动配置的方案。

  1. 洞态IAST支持两种方式配置应用名称:
  • 方式一,通过部署IAST页面,输入项目名称,应用启动时,将自动将探针绑定至对应的项目中

img

  • 方式二,启动应用时,指定JVM参数-Dproject.name=<project.name>,如下:

    java -Dproject.name=<project.name> -jar app.jar

  1. 【讨论】IAST自动识别项目名称的可选方案
  • ContextPath
  • 当前Request请求所在的物理路径
三、SCA实现原理

一个优秀的 IAST 一定有 SCA 一类的功能,简单的实现都是通过收集客户段组件信息,发送到云端通过匹配 CPE,并链接到对应的 CVE/CWE/CNNVD 等 -- 作者:素十八

洞态IAST的SCA功能实现主要分为三部分:

  • 收集并上报JavaWEB应用中使用的第三方组件
  • 与Maven官方组件库匹配,获取精确的版本信息
  • 与漏洞库对接梳理漏洞(漏洞库数据来源于国内外公开的优质SCA漏洞数据,未通过cpe处理)
  1. 收集JavaWEB中第三方组件的方案

根据Java中的类加载机制可知,JVM在加载应用代码类的同时会加载类中引用的第三方组件类。根据这一特性,在IAST中获取第三方组件类所在的jar包位置,计为path1,然后读取path1目录下所有的jar包;最后用SHA-1算法计算Jar包的哈希值,并上报至云端

  1. 云端与Maven官方组件库匹配

云端根据SHA-1哈希值与Maven组件库进行匹配,获取对应的groupId、artifactId和版本信息

  1. 云端与漏洞库对接

根据组件的版本信息后,与组件漏洞库对比,判断是否存在漏洞

【讨论】关于SCA的收集,是否有更好的方式呢? 极简简约动态分割线本周六快手联合火线 举办线下「观火」白帽沙龙活动 ↓扫描二维码火速了解解码未来活动banner

【火线Zone】

火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火小表妹]免费加入~

我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!

欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!

指纹识别简约卡片动态二维码 (2)

引导分享点赞在看GIF引导三连

火线安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST 原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链 项目介绍 “火线〜洞态IAST”是成套专为甲方安全人员,甲乙代码审计工程师和0自动化挖掘0天。 “火线〜洞态IAST”具有五大模块,分别是dongtai-webapi dongtai-openapi , dongtai-webapi dongtai-openapi , dongtai-openapi dongtai-engine , dongtai-web , agent ,其中: dongtai-webapi用于与dongtai-webapi dongtai-web交互,负责用户相关的API请求; dongtai-openapi用于与agent交互,处理agent上报的数据,向agent下
浅谈被动式IAST产品与技术实现
Moyun_vackbot的博客
01-07 9327
笔者曾参与RASP研究与研发得到一些相关经验,近两年观察到IAST发展势头明显,但目前国内外对于IAST具体实现的细节相关文章较少,且笔者看到的开源IAST仅有洞态,故想通过笔者视角,对IAST的原理及技术实现进行探究及分享。 本文仅代表笔者个人观点,欢迎大家进行技术交流及学习。 什么是IAST IAST是AST其中的一个类别,AST是Application Security Testing的简称,译为应用安全测试,在其之下衍生出来以下几种类型: SAST(Static Applicatio.
洞态IAST Python-agent 内测版 测试
weixin_40418457的博客
08-12 376
一、背景 洞态 IAST 首发 Python-agent 尝鲜,验证 Agent 针对路径穿越漏洞的检测能力。 洞态 IAST 的检测方式是扫描运行中的应用程序,将扫描到的漏洞信息发送到云端进行检测处理。 二、验证方式 本次验证选择在本地启动python靶场,安装dongtai-iast Python探针,请求靶场Api,做漏洞检测。 三、本地环境搭建 克隆 python 靶场 源码 $ git clone https://github.com/jinghao1/python_range_demo 注:
洞态 IAST v1.1.4 新版本来袭,DevSecOps 更进一步
weixin_40418457的博客
12-22 2917
导语 洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。 DongTai 特发布双周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。 双周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本的功能进行解析。 ​ 近期功能亮点 1.洞态 IAST 增加漏洞修复与代码
洞态IAST自动检测S2-048
weixin_40418457的博客
06-04 270
一、复现环境搭建 访问火线-靶场并搜索S2-048,然后启动registry.cn-beijing.aliyuncs.com/huoxian/s_struts2_s2-059:latest 环境启动后,默认页面。 二、漏洞复现 POST /showcase/integration/saveGangster.action HTTP/1.1 Host: localhost:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0)
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高...
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,...
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
计算ISAT的matlab程序 基于理想吸附理论
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
weixin_40418457的博客
12-08 372
洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下: 增强敏感信息检测能力 新增策略模版管理功能 新增“关于洞态”页面 新增Agent主动验证的关闭功能 优化项目配置 优化组件管理功能 01 增强敏感信息检测能力 支持 HTTP 请求中请求参数 请求体和响应体的检测 使用场景 根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手
unix中last命令的实现
08-22
unix中last命令的实现unix中last命令的实现unix中last命令的实现unix中last命令的实现unix中last命令的实现
安全左移|洞态IAST构建高效DevSecOps流程
weixin_40418457的博客
09-29 600
9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。 本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。 01 IAST的时代需要 #安全测试是应用开发的必要环节 自2016年以来,随着《中华人民共和国网络安全法》、《中华
洞态IAST自动检测S2-001漏洞
weixin_40418457的博客
04-30 265
一、使用Dongtai-IAST检测S2-001漏洞 1. 启动在线靶场 登陆在线靶场:http://labs.iast.huoxian.cn:8081,启动`S2-001`环境,等待环境启动之后,点击**访问靶场**按钮即可前往靶场环境。该环境来源于`vulhub`和`vulapps` 2. 登陆**洞态IAST**网站:http://iast.huoxian.cn:8000/,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.strut
洞态IAST落地实践
phantoms007的博客
06-17 1513
刚开始,笔者测试百度OpenRASP的IAST功能(主动式IAST),OpenRASP的IAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上解决了脏数据的问题,但是出现了很多漏报,而且基于重放HTTP请求的检测方式,对存在签名、防重放之类,无法进行HTTP请求重放的接口来说,...
洞态IAST源码分析及吐槽
weixin_40418457的博客
05-21 825
0x01 前情提要 北京时间11点42分,正准备划 20 分钟水去吃午饭,园长突然跟我说过火线的 IAST 突然开源了,原名灵芝IAST更名为洞态IAST,真是OMG。 IAST 也是同样使用 agent 技术。同样一种技术,在不同人的手里用法也不同,同一种思路在不同人手里的实现方式也可能存在差异。那么既然他开源了,那就来看一看学习一下他的思路实现,也顺便测试一下产品,取其精华。 能有这样的产品开源供广大安全从业者测试和学习真的是一件非常好的事,真的是要撒花庆祝,感谢老板。由于明确项目定位是 IAST
一篇文章了解DongTai IAST
lym003的博客
05-11 688
洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义。
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 5010
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
IAST 实践利用洞态做开源组件的安全治理
weixin_40418457的博客
02-11 504
背景 某大型集团在使用洞态一段时间后,发现其配套使用的组件管理的漏洞知识库内容存在滞后性和部分不准确性。倘若将这些内容引入到工单系统中作为安全组件整改任务,那么提供给开发部门的漏洞描述、漏洞危害和修复建议便会显得没有说服力。因此需要寻找实时、有效且免费的安全漏洞知识库的信息来源。 解决方案 目前业内开源组件的安全知识库的来源,主要有两种: 人工维护的商用漏洞数据库 NVD 免费漏洞数据库 由于使用洞态提供的组件信息,最好还是集成免费信息来源。由于 dependency check 工具是通过调用 NVD
web渗透--68--洞态IAST部署及使用
武天旭的博客
01-21 2544
前不久【洞态IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏洞外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
洞态IAST内网私有化部署详细方案
最新发布
05-29
以下是洞态IAST内网私有化部署的详细方案: 1. 确认服务器环境 首先需要确认部署洞态IAST的服务器环境是否符合洞态IAST的要求。具体要求可以参考洞态IAST官方文档。需要注意的是,服务器环境需要满足以下要求: - 操作系统:CentOS 7.2及以上版本,或者Ubuntu 16.04及以上版本。 - 内存:至少8GB。 - 硬盘:至少100GB,建议使用SSD硬盘。 - CPU:建议使用4核及以上的CPU。 2. 下载离线包 在确认服务器环境符合要求之后,需要下载洞态IAST的离线包。可以在洞态IAST官方网站上下载,或者联系洞态IAST的销售团队获取。 需要注意的是,离线包的大小较大,下载可能需要一定的时间和带宽。 3. 安装数据库 洞态IAST需要使用数据库来存储扫描结果等信息,因此需要先安装数据库。可以选择使用MySQL或者PostgreSQL等关系型数据库。 安装过程可以参考数据库官方文档。 4. 安装洞态IAST 在安装洞态IAST之前,需要确认服务器已经安装了Java环境。可以通过以下命令检查: ```bash java -version ``` 如果没有安装Java环境,则需要先安装Java环境。 在安装洞态IAST之前,需要在服务器上创建一个新的非root用户,并授权该用户访问数据库。 然后将下载的离线包上传到服务器,并解压缩到指定目录。进入解压缩后的目录,执行以下命令: ```bash ./install.sh ``` 接着按照提示进行安装,需要输入数据库连接信息、管理员账号密码、安装路径等信息。 安装完成后,可以使用以下命令启动洞态IAST: ```bash systemctl start iast.service ``` 5. 配置代理 如果部署在内网环境中,可能需要配置代理才能让洞态IAST访问外网。可以在洞态IAST的安装目录下的`iast.properties`文件中进行配置,将代理地址和端口号填入即可。 需要注意的是,如果代理需要进行身份验证,则需要在配置文件中同时填入用户名和密码。 6. 配置扫描信息 在进行应用程序扫描之前,需要配置扫描信息。可以通过洞态IAST的Web界面进行配置。 登录洞态IAST的Web界面,进入“扫描管理”页面,点击“新建扫描任务”,填写扫描任务的相关信息。需要注意的是,需要填写正确的应用程序地址和端口号,才能保证扫描结果的准确性。 7. 进行应用程序扫描 在配置好扫描信息之后,就可以进行应用程序扫描了。可以在洞态IAST的Web界面中查看扫描结果。 需要注意的是,扫描过程可能会占用较多的服务器资源,因此建议在空闲时间进行扫描,并根据具体情况进行资源调整。 以上就是洞态IAST内网私有化部署的详细方案,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值