源码分析 - 洞态IAST JAVA agent如何实现AOP

最新推荐文章于 2023-06-21 11:21:00 发布
最新推荐文章于 2023-06-21 11:21:00 发布
阅读量352 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/117988665
版权
本文深入探讨IAST Java agent如何利用AOP进行方法调用链及污点值传播信息采集。主要关注AgentEngine的install方法、TransformEngine的init方法以及IastClassFileTransformer的角色。通过ASM框架,IAST在类加载到JVM前修改字节码,插入try-catch结构以追踪污点值传播。此外,介绍如何通过继承AbstractAdviceAdapter实现新web框架的适配,以及火线Zone社区的相关信息。
摘要由CSDN通过智能技术生成

前言

IAST JAVA agent方法调用链,污点值传播等信息的采集功能的实现很大程度上依赖着AOP,IAST JAVA agent是怎么实现AOP的呢,请继续往下看。

源码分析

首先我们来看一下 ENGINEENTRYPOINTCLASS 即 com.secnium.iast.core.AgentEngine这个类。

img

install方法通过反射被调用,入参里的Instrumentation inst对AOP功能的实现十分重要,我们继续跟着inst看下去。agentEngine.init(mode, propertiesFilePath, inst);方法分别调用了各个引擎的init方法,其中的TransformEngine明显和AOP有关。

img

inst通过init方法传给了TransformEngine类的成员变量,在调用start方法时又传给了IastClassFileTransformer.init这个静态方法。

img

如图添加了iastClassFileTransformer到inst中,用它来执行字节码转换。类的字节码在载入JVM之前会调用ClassFileTransformer的transform方法。

而IastClassFileTransfor

最低0.47元/天 解锁文章
火线安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
IAST技术知识-Java环境Agent部署知识干货分享
tcsecXD的博客
06-10 418
本期【千方百计】主题:Java环境Agent部署知识分享。欢迎在评论区发言、讨论、分享有关IAST的热知识哦!也欢迎广大“路人甲”小伙伴对【甲乙磁场】活动提出问题和建议!我们肥肠希望与【甲乙磁场】的关注者之间触发安全磁力哦!贴贴~...
利用javaagent修改字节码实现aop
凌夏大叔的博客
07-07 1849
利用javaagent实现aop 起因: 在用seata AT模式时想在全局事务提交后触发事件,解析undo_log执行一些操作,比如异步写入es。由于seata没有提供代码切入点,那么只能在项目中建一个和框架代码相同的包,再拷贝框架中的类源码放到包下,重写其中的源码,classpath优先加载原则达到覆盖原类目的。这种做法实属不够『优雅』。 那么怎么才能做到无声无息的对源码做到增强呢? 想到spring aop,但是源代码是new出来的,并且不受spring工厂托管,那么这条路走不通了。 又想到利用Cla
JVM中的"AOP",java agent
haoweng4800的博客
09-22 602
前言: 考虑一下问题:如何统计一个方法执行了多久?我们会回答Spring aop代理,加拦截。但是这有一个问题,如果spring内部方法调用,aop就会失效了。 再想一想:我们代码写好了,或者我们的项目发布了,怎么统计方法运行时长,怎么能排查时间过长的方法执行? 带着这些问题,我们来看一下jvm层面的代理。 首先,可以参考一下这个 Arthas运行原理 类似的,我们可以用到里面的技术,In...
Java 动态代理实现通用代理类 AOP
记录日常
08-31 614
//抽象主题角色 interface Subject { public void request(); } //****************************************************************** //****************************************************************** //****...
Spring高级49将-第十讲:AOP实现agent类加载
温涛的博客
05-29 606
Spring高级49将-第十讲:AOP实现agent类加载
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链项目介绍“火线〜洞态IAST...
openrasp-iast:IAST 灰盒扫描工具
05-12
- **Python**:OpenRASP-IAST基于Python开发,利用Python的灵活性和广泛的生态系统来实现其功能。 通过集成OpenRASP-IAST,开发团队能够更有效地进行安全测试,从而提高整体应用安全性,减少因安全问题导致的数据...
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高...
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,...
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
标题中的“IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_”表明这个压缩包可能包含一个关于理想吸附理论(Ideal Adsorbed Solution Theory, 简称IAST)的项目或者代码库,特别是针对ISAT( Ideal ...
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
Himo Zhu-京东IAST研究及实践.pdf
11-22
京东IAST的关键技术包括污点传播技术、栈签名算法和组件分析技术,以帮助检测和防止逻辑漏洞。 **关键技术详解** 1. **污点传播技术**:通过在请求中添加污点标记(如魔数),利用Tomcat线程机制和ThreadLocal,...
「数据安全」基于IAST技术_灰盒安全测试工具产品分析 - 网络安全.zip
11-27
IAST(Interactive Application Security Testing,交互式应用程序安全测试)是一种新兴的技术,它融合了静态代码分析(SAST)和动态应用安全测试(DAST)的优势,为数据安全提供了更全面的解决方案。IAST工具能够在...
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 ...IAST-插桩被动型I(动态污点分析)IAST实现原理
【异常记录】使用Aopagent增强出错
qq_46447737的博客
05-24 297
异常描述: 在导入aspectjweaver依赖之后,同时在VMoptions中加入 -javaagent:D:\Maven\apache-maven-3.8.4-bin\maven-lib\repository_boot\org\aspectj\aspectjweaver\1.9.7\aspectjweaver-1.9.7.jar,紫色部分为自己Maven本地仓库地址 执行代码之后无法是实现aop的增强 报错原因: 找不到resources下的META-INF文件夹下的aop.xml.
Aopagent 增强
qq_43985303的博客
03-08 840
承接上篇文章,本篇讲述Aopagent增强方式。运行时虚拟机参数设置。
简析IASTAgent篇 | 信息安全
最新发布
360技术
06-21 3027
一、IAST简单介绍IAST(Interactive Application Security Testing)交互式应用程序安全测试,通过服务端部署Agent探针,流量代理/VPN或主机系统软件等方式,监控Web应用程序运行时函数执行并与扫描器实时交互,高效、精准的安全漏洞,是一种运行时灰盒安全测试技术。在分析并评估了业界主流的几家IAST产品后,发现IAST一般可以提供agent插桩检测、流量...
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 5127
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
洞态IAST内网私有化部署详细方案
05-29
以下是洞态IAST内网私有化部署的详细方案: 1. 确认服务器环境 首先需要确认部署洞态IAST的服务器环境是否符合洞态IAST的要求。具体要求可以参考洞态IAST官方文档。需要注意的是,服务器环境需要满足以下要求: -...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值