从了解洞态 IAST 到加入开源社区

最新推荐文章于 2023-05-11 16:22:44 发布
最新推荐文章于 2023-05-11 16:22:44 发布
阅读量287 收藏 2
点赞数
分类专栏: 网络安全 IAST DevOps 文章标签: flask web安全 安全
原文链接:https://www.freebuf.com/articles/web/317421.html
版权
网络安全 同时被 3 个专栏收录
51 篇文章 9 订阅
订阅专栏
IAST
14 篇文章 1 订阅
订阅专栏
DevOps
10 篇文章 0 订阅
订阅专栏

引言

作为公司信息安全部的成员,确保每一条业务线的应用安全,是我工作的一部份,那么如何完全这项使命呢?我会在接下来的篇幅中一一说明。

应用安全测试
目前常见的应用安全目前常见的应用安全测试有三种:SAST (静态应用程序安全测试),DAST (动态应用程序安全测试)、IAST (交互式应用程序安全测试)。

SAST

我们已经自研了一套应用于主要业务线的 SAST 平台,在使用的过程中,有不错的漏洞检出率,但受限于编程语言,以及其存在一定的误报率,需要消耗较大的运营成本去审核检出的漏洞。

DAST

黑盒安全测试同样也应用于我们的日常安全运营中,我们对一些扫描器实现了自动化平台化,但扫出的漏洞依旧有限。

IAST

IAST 相当于 DAST 和 SAST 的组合,是一种相互关联的运行时安全检测技术。它通过使用部署在 Web 应用程序上的 Agent 来监控运行时发送的流量并分析流量,以实时识别安全漏洞。IAST 提供更高的测试准确性,并详细地标注漏洞在应用程序代码中的确切位置,从而帮助开发人员达到实时修复。

洞态IAST

了解到洞态 IAST 还是从我的同事 @null-302 那儿,当时给我的第一感觉是:这么牛X的项目居然完全开源了。以下对现有功能进行大致说明,不足的地方还望大家指正。

通用漏洞扫描
洞态目前通过 Agent + Server 的方式,支持对 Java、Python、GoLang,PHP 等语言开发的应用进行交互式漏洞扫描,大致的原理是通过 Hook 技术结合污点传播,对程序中所有方法的参数、数据流转进行分析从而识别出漏洞。这种方式对漏洞的检出是不会存在误报的,由此就可以省去漏洞运营的成本。

举一个简单的例子 (python3 + Flask) :

@app.route("/test",methods=[“POST”])

def Test():

data = json.loads(request.get_data())

argv1 = data[“argv1”]

exec(argv1)

对于上述代码可以很明显的看到这是一个存在“代码执行漏洞”的接口,洞态的检测原理则是通过对 Flask 中的 request 下所有的方法以及 exec、eval 等可以执行命令的方法进行监控,通过污点传播的方式可以检测出当参数从 request 请求传入,流入命令执行函数是则判定存在代码执行漏洞。

组件漏洞识别
对于组件的漏洞识别这一点也是洞态的亮点之一,可以很好的实现对项目组件安全性的监控,该模块本身具有组件漏洞检测的能力,同时对于一些 1day 的组件漏洞,可以结合情报进行识别、告警。

美中不足的是目前只支持 Java 应用。
在这里插入图片描述

敏感信息泄露
在最近的版本更新中添加了敏感信息泄露的检测功能,通过对应用的 Request、Response 进行正则匹配,实现了敏感信息进出站的检测。同时支持用户自定义正则检测敏感性息,在数据安全法落地的今天,这显得非常重要了。后面会单独写一篇文章来分享该模块的使用心得体会。

PS: 默认正则有待优化。

全流量及调用链
在这里插入图片描述
在这里插入图片描述


官方定义这个功能叫搜索,我更愿意称其为全流量及调用链,如图所示,这个模块可以获取到应用完整流量,如果有漏洞则会标记。同时也能获取程序内部的完整调用关系,如果存在漏洞则会标记是哪一步存在漏洞。由于篇幅有限在这篇文章中就不详细描述使用场景了。

加入开源社区

在使用的过程中,我们也遇到了一些问题和 bug,洞态 IAST 团队在很快的时间内进行了修复,并且催促我们尽快测试。要知道在开源项目中能有这么快的 bug 修复速度,并且反向催促使用者尽快测试,是我闻所未闻的。

同时,需要将一个产品落地到实际场景中,至少在我看来,集成是必不可少的。洞态团队对于项目精神,加上,我们现有的需求,在这两个前提条件下,让我有了加入开源社区的想法。

洞态本身有着良好的 API 接口,可是需要完成集成,如果仅通过 API 就会出现如下不怎么好维护也不怎么优雅的代码:

data={

“project_id”:101,

}repData=

requests.post(“http://xx.xxx.xx.xxx/api/v1/project/version/add”,data=data,headers=xxxx)

repData = json.load(repData.text)

if repData[“status”] == 201:

version_id = repData[“data”][“version_id”]

每一次请求接口的时候都要对状态码做各种判断,都要通过 json 的 key 的方式(repData[“xx”][“yy”])去获取数据,同时每次都要去看文档才能知道要获取的数据是什么如何请求等等。

于是我便有了开发 SDK 的想法,洞态团队也非常欢迎我加入开源社区,于是就有了 Python 版的洞态 SDK,对于接口进行了封装,能以对象方法的形式请求,同时也能够直接通过对象属性的方式获取数据(IDE 本身会自动提示,使用过程中几乎不用看文档)

pip3 install dongtai-sdkfrom dongtai_sdk.

DongTai import DongTai

dongTaiSdk = DongTai(“config.json”)

具体可参看项目主页:

DongTai-SDK-Python

https://github.com/HXSecurity/DongTai-SDK-Python

本文源自于 FreeBuf 作者 SpenserCai,很感谢该作者对洞态 IAST 的关注与支持。

关于洞态 IAST

洞态 IAST 是全球首个开源 IAST ,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的上百家企业都已成为洞态用户。

官网地址:http://dongtai.io

火线安全
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DongTaiDoc:灵芝IAST是一种独立的应用安全评估工具,覆盖了Java WEB相关安全风险的检测,具有近实时检测,准确率高,误报率低,突破清晰等特点|使用之前请阅读官方文档
04-06
火线〜洞态IAST :party_popper: :party_popper: :party_popper: 一款一体式应用安全评估工具(被动式) 一,简介 1.火线〜洞态IAST属于被动式IAST,不需要重新数据包,不产生脏数据; 2.被动式IAST具有近实时检测,高检出率,低误报率,低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点突变不准确,误报等情况,尤其是使用了自定义的过滤函数 二, :rocket:火线〜洞态IAST极速体验 快速开始请查看 三,检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql,mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 头注入 XXE 不安全的readline 不安全的重新 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置安全 反射注入 第三方组件收集及防御检测 四,问答区
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
计算ISAT的matlab程序 基于理想吸附理论
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高检出率、低误报率、低漏报率等特点;理论上可以实现0误报,但是,在复杂场景下,会出现污点链路不准确、误报等情况,尤其是使用了自定义的过滤函数 二、:rocket: 火线~洞态IAST极速体验 快速开始请查看 三、检测能力 命令执行 SQL注入,支持常见数据库的sql注入检测,包括mysql、mssql等 LDAP注入 SMTP注入 XPATH注入 EL表达式注入 Hql注入 NoSql注入 header头注入 XXE 不安全的readline 不安全的重定向 不安全的转发 路径穿越 弱加密算法 弱哈希算法 弱随机数算法 信任边界 Cookie未设置secure 反射注入 第三方组
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST 原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链 项目介绍 “火线〜洞态IAST”是成套专为甲方安全人员,甲乙代码审计工程师和0自动化挖掘0天。 “火线〜洞态IAST”具有五大模块,分别是dongtai-webapi dongtai-openapi , dongtai-webapi dongtai-openapi , dongtai-openapi dongtai-engine , dongtai-web , agent ,其中: dongtai-webapi用于与dongtai-webapi dongtai-web交互,负责用户相关的API请求; dongtai-openapi用于与agent交互,处理agent上报的数据,向agent下
IAST 实践利用洞态开源组件的安全治理
weixin_40418457的博客
02-11 495
背景 某大型集团在使用洞态一段时间后,发现其配套使用的组件管理的漏洞知识库内容存在滞后性和部分不准确性。倘若将这些内容引入到工单系统中作为安全组件整改任务,那么提供给开发部门的漏洞描述、漏洞危害和修复建议便会显得没有说服力。因此需要寻找实时、有效且免费的安全漏洞知识库的信息来源。 解决方案 目前业内开源组件的安全知识库的来源,主要有两种: 人工维护的商用漏洞数据库 NVD 免费漏洞数据库 由于使用洞态提供的组件信息,最好还是集成免费信息来源。由于 dependency check 工具是通过调用 NVD
洞态IAST落地实践
phantoms007的博客
06-17 1482
刚开始,笔者测试百度OpenRASP的IAST功能(主动式IAST),OpenRASP的IAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上解决了脏数据的问题,但是出现了很多漏报,而且基于重放HTTP请求的检测方式,对存在签名、防重放之类,无法进行HTTP请求重放的接口来说,...
一篇文章了解DongTai IAST
lym003的博客
05-11 630
洞态 IAST 是一个完全开源IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义。
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 4973
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏洞最关键的阶段,超过50%的安全漏洞由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
洞态IAST实现思路分享及讨论
weixin_40418457的博客
05-25 1292
素十八师傅之前对洞态IAST的源码进行了一波深入分析,吐槽了一些地方,首先感谢师傅的精心研究及Diss,其中存在的问题已经基本解决,遗留的问题也在解决中,本文将对分析文章中存在的误解及疑问进行解答。 感谢素十八师傅对洞态IAST代码的分析,文章地址:[> 洞态IAST源码分析及Diss][0] 根据师傅的分析以及提出的疑问,将逐部分进行解答。本文将回答下面3个问题: 洞态IAST开源的java agent应该如何使用? 检测引擎如何区分应用? SCA实现原理 一、如何编译并使用本地Java A
洞态IAST自动检测S2-007漏洞
weixin_40418457的博客
04-30 835
1. 启动在线靶场 登陆 在线靶场,启动S2-007环境,等待环境启动之后,点击访问靶场按钮即可前往靶场环境。该环境来源于vulhub和vulapps 2. 查看检测结果 登陆洞态IAST官方网站,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.struts2.dispatcher.Dispatcher.DefaultActionMapper#createContextMap()方法中,调用Servlet接口的getParameterM
代码审计之JAVA代码审计洞态IAST系统以及SecExample靶场
weixin_52515588的博客
04-21 5951
目录 2 JAVA系列代码审计 2.1 工具介绍 2.2 SecExample靶场安装 2.3 洞态IAST安装 2.3 洞态IAST使用 2 JAVA系列代码审计 之前我们都是采用代码审计工具对PHP代码进行审计,但是在实际的工作中对于从事代码审计的人员来说JAVA的代码审计也是必不可少的,那么接下来我会详细介绍一下JAVA代码审计的流程,供大家参考学习。 2.1 工具介绍 在接下来的操作中,我主要是利用洞态IAST以及Secexample靶场来完成对JAVA..
内部wiki梳理-安全各领域TOP产品表
|独自望海。。。
07-13 430
带安服团队也有一年多了,经常会碰到安全的集成项目,在项目中接触了近三十家厂商五十款安全产品,也算是职业生涯的一个大的积累了,通过相关客户的反馈、业界口碑、我们公司的测试和评估,总结了一些比较优秀的产品出来,本来都是放到内部wiki的,还不如分享出来给信安人士作参考(仅一部分),大家有其他的相关安全产品想进行调研也都可以咨询我,不吝解答 产品类别 产品选型 终端安全 奇安信-天擎+天狗引擎 火绒-EDR 联软(偏准入) 态势感知 ...
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
weixin_40418457的博客
12-08 366
洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下: 增强敏感信息检测能力 新增策略模版管理功能 新增“关于洞态”页面 新增Agent主动验证的关闭功能 优化项目配置 优化组件管理功能 01 增强敏感信息检测能力 支持 HTTP 请求中请求参数 请求体和响应体的检测 使用场景 根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手
web渗透--68--洞态IAST部署及使用
武天旭的博客
01-21 2527
前不久【洞态IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏洞外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
DongTai--被动型IAST工具部署体验
09-07 1364
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。 在...
安全左移|洞态IAST构建高效DevSecOps流程
weixin_40418457的博客
09-29 598
9月25日,由CNCF大使、开源意见领袖共同发起的,国内最大的独立第三方云原生终端用户和泛开发者社区——云原生社区,在腾讯大厦成功举办深圳站首届MeetUp。 本届MeetUp聚焦云原生,火线安全洞态产品负责人董志勇分享了“使用IAST构建高效的DevSecOps流程”,从IAST的时代需要到IAST含义,从洞态IAST的功能与实现原理到洞态IAST与DevOps的高效融合均做了详细介绍。 01 IAST的时代需要 #安全测试是应用开发的必要环节 自2016年以来,随着《中华人民共和国网络安全法》、《中华
洞态IAST的部署及使用(以Tomcat为例)
weixin_45260839的博客
07-14 1468
洞态IAST的部署及使用(以Tomcat为例)
洞态IAST内网私有化部署详细方案
最新发布
05-29
以下是洞态IAST内网私有化部署的详细方案: 1. 确认服务器环境 首先需要确认部署洞态IAST的服务器环境是否符合洞态IAST的要求。具体要求可以参考洞态IAST官方文档。需要注意的是,服务器环境需要满足以下要求: -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值