DongTai 社区双周报 | v1.2.0 版本亮点功能更新

最新推荐文章于 2023-06-03 14:59:45 发布
最新推荐文章于 2023-06-03 14:59:45 发布
阅读量205 收藏 1
点赞数
分类专栏: DevOps IAST 网络安全 文章标签: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/122306890
版权
网络安全 同时被 3 个专栏收录
51 篇文章 9 订阅
订阅专栏
IAST
14 篇文章 1 订阅
订阅专栏
DevOps
10 篇文章 0 订阅
订阅专栏

洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。

DongTai 特发布双周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。

双周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本的功能进行解析。

——导语

在这里插入图片描述

近期功能特性亮点

1.新增项目 DongTai-SDK-Python,通过 SDK 访问洞态 API,避免直接操作 API 接口

仓库地址:

https://github.com/HXSecurity/DongTai-SDK-Python

贡献者:

SpenserCai(https://github.com/SpenserCai)

2.开源 Go Agent 项目,支持原生 net/http、gin 框架、julienschmidt/httprouter 框架,支持检测原生 database/sql 包导致的 SQL 注入、Gorm 框架导致的 SQL 注入

仓库地址:https://github.com/HXSecurity/DongTai-agent-go

3.漏洞支持企业微信告警

相关PR:

  • https://github.com/HXSecurity/DongTai-engine/pull/122

贡献者:

hzmciast https://github.com/hzmciast

4.Java Agent 支持 DUBBO RPC 协议

相关PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/200

5.修复 Java Agent 的 SCA 数据采集 BUG,优化 iast-inject 模块、减少内存占用、提高性能速度

相关PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/196
  • https://github.com/HXSecurity/DongTai/issues/388

6.解决 Java Agent 热卸载功能的 BUG

相关PR:

  • https://github.com/HXSecurity/DongTai-agent-java/pull/201
    贡献者:

caoshutao(https://github.com/caoshutao)

7.PHP Agent 支持 PHP 7. 版本、支持检测命令执行的漏洞*

8.Python Agent 支持检测 NoSql 注入漏洞、LDAP 注入漏洞

相关PR:

  • https://github.com/HXSecurity/DongTai-agent-python/pull/84
  • https://github.com/HXSecurity/DongTai-agent-python/pull/86
  • https://github.com/HXSecurity/DongTai-agent-python/pull/88

9.产品:自定义规则支持批量启用、批量禁用、批量删除

相关PR:

  • https://github.com/HXSecurity/DongTai-web/pull/174

10.产品:增加组件导出的功能

相关PR:

  • https://github.com/HXSecurity/DongTai-web/pull/174

关于洞态 IAST

洞态 IAST 是全球首个开源 IAST,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括工商银行、去哪儿、知乎、同程旅行、轻松筹等在内的近二百家企业均已成为洞态用户。

官网地址:http://dongtai.io

火线安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
洞态IAST实现思路分享及讨论
weixin_40418457的博客
05-25 1336
素十八师傅之前对洞态IAST的源码进行了一波深入分析,吐槽了一些地方,首先感谢师傅的精心研究及Diss,其中存在的问题已经基本解决,遗留的问题也在解决中,本文将对分析文章中存在的误解及疑问进行解答。 感谢素十八师傅对洞态IAST代码的分析,文章地址:[> 洞态IAST源码分析及Diss][0] 根据师傅的分析以及提出的疑问,将逐部分进行解答。本文将回答下面3个问题: 洞态IAST开源的java agent应该如何使用? 检测引擎如何区分应用? SCA实现原理 一、如何编译并使用本地Java A
洞态IAST v1.1.3 版本正式发布,敏感信息检测能力大增
weixin_40418457的博客
12-08 385
洞态自发布以来,版本一直保持着两周一次的迭代速度。本周,我们很高兴向大家介绍洞态 v1.1.3 版本。此版本重在增强敏感信息检测能力与提升用户的使用体验,本次版本重点更新内容如下: 增强敏感信息检测能力 新增策略模版管理功能 新增“关于洞态”页面 新增Agent主动验证的关闭功能 优化项目配置 优化组件管理功能 01 增强敏感信息检测能力 支持 HTTP 请求中请求参数 请求体和响应体的检测 使用场景 根据《个人金融信息保护技术规范》要求,C3 以上级别的数据,在进行传输时,需要进行加密处理,包括手
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST 原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链 项目介绍 “火线〜洞态IAST”是成套专为甲方安全人员,甲乙代码审计工程师和0自动化挖掘0天。 “火线〜洞态IAST”具有五大模块,分别是dongtai-webapi dongtai-openapi , dongtai-webapi dongtai-openapi , dongtai-openapi dongtai-engine , dongtai-web , agent ,其中: dongtai-webapi用于与dongtai-webapi dongtai-web交互,负责用户相关的API请求; dongtai-openapi用于与agent交互,处理agent上报的数据,向agent下
Tencent Shadow—零反射全动态Android插件框架正式开源
腾讯开源
06-19 3412
Shadow是一个腾讯自主研发的Android插件框架,主要有以下特点:Shadow所指的插件是插件的代码完全是一个正常可安装的App代码,无需引用任何Shadow的库。...
DongTai--被动型IAST工具部署体验
09-07 1440
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。 在...
动态设置HTML:v-html
Bing's Blog
09-12 1938
Time: 20190912 即:通过表达式设置某个元素的HTML。 需要注意:只用v-html处理可信任的数据,且不要允许用户输入的数据。 所谓动态设置HMTL指的是,直接将数据以HTML的形式显示在页面上,不做任何转义。 使用方式 <div v-html="html内容"></div> END. ...
DongTai 被动型IAST工具
09-06 731
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
洞态 IAST v1.1.4 新版本来袭,DevSecOps 更进一步
weixin_40418457的博客
12-22 2925
导语 洞态 IAST 自开源发布以来,一直保持着更新一版的节奏不断迭代。项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出。 DongTai 特发布周报,希望可以帮助社区的小伙伴们更好地掌握 DongTai 社区的进展,方便大家参与到 DongTai 社区中来。 周报主要是整理展示新增的社区贡献者(包括 Contributor 和 Committer),并对新版本功能进行解析。 ​ 近期功能亮点 1.洞态 IAST 增加漏洞修复与代码
使用纯flutter3.0版本,2个dart文件,搭建ChatGPT简易版聊天客户端程序(含openai与api2d版本
小哈里的博客
06-03 1866
使用纯flutter3.0版本,2个dart文件,搭建ChatGPT简易版聊天客户端程序(含openai与api2d版本)使用纯Flutter 3.0版本,仅需2个Dart文件,即可搭建ChatGPT简易版聊天客户端程序(包括OpenAI与API2D版本) 随着人工智能的快速发展,聊天机器人成为了现代社交和客户服务的重要工具。ChatGPT是OpenAI开发的一款基于深度学习的语言模型,能够模1、效果展示 2、按钮的搭建(1个组件) 3、聊天窗口的搭建(1个dart) 4、API请求的实现(1个dart)
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高...
dongtai-go-agent 靶场.zip
最新发布
01-16
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
linux_dongtai_lib.zip_linux 动态库
09-23
在Linux系统中,动态库(Dynamic Link Libraries,也称为共享对象或.so文件)是程序运行时需要调用的代码库,它们被多个程序共享,节省了内存资源并方便了代码的更新与维护。本资料“linux_dongtai_lib.zip”专注于...
tuigan-dongtai.zip_图片动态显示
07-14
推杆动态显示,也是图片,里面的一些技巧可以借鉴!
DongTai被动型IAST工具部署
Bird&Bird
09-22 956
目录概述实现原理IAST部署项目初体验 概述 IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。 实现原理 IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式。 代理模式,在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟多种漏洞检测方式对被测服务器进行安全测试。
Android权限使用错误相关漏洞
weixin_40418457的博客
10-13 6015
Android权限概述 权限有助于限制对某些 Android 组件(如活动、广播接收器、服务和内容提供者)的访问。权限还用于在运行时验证应用程序是否有权访问敏感信息或执行危险操作。开发人员可以在应用程序的AndroidManifest.xml文件中声明各种权限类型。比如,应用程序想要有权限访问联系人,必须在Androidmanifest.xml中包含如下声明: <uses-permission android:name="android.permission.READ_CONTACTS" />
洞态漏洞检出测试第二期:NoSQL & LDAP注入漏洞
weixin_40418457的博客
01-07 3802
​测试环境 DongTai-Python-agent 版本号:v1.2.0 支持 Python 框架:Flask Python 3.8 NoSQL 注入漏洞 以 JavaScript 注入为例 JavaScript 注入是由允许执行数据内容中 JavaScript 的 NoSQL数据库所引起的。JavaScript 使得在数据引擎进行复杂事务和查询成为可能。传递 “不干净的用户输入” 到这些查询中,便可以注入任意 JavaScript 代码,这将导致非法的数据获取或篡改。 在测试前,我们先了解一下 wh
【漏洞处置方案】Apache Log4j2远程代码执行漏洞&对外技术支持服务
weixin_40418457的博客
12-10 3550
昨日,Apache Log4j2 成为知名漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。火线安全为防止其继续扩大影响范围,特发布针对该漏洞的处置方案。 漏洞描述 Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,被广泛应用于业务系统开发,用以记录程序输入输出日志信息。是目前较为优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可通过构造指定的恶意请求,触发远程代码执行从而获取服务器权限
从 DevSecOps 流程视角看 IAST 技术应用与发展
weixin_40418457的博客
12-03 3244
近几年,伴随云计算、容器技术以及 DevOps 的普及,DevSecOps 作为糅合了开发、安全及运营理念的全新方法,其关注热度持续上升,并在全球范围内得到广泛应用。目前 IAST 被部分业内人士看作一种“更适合 DevSecOps 流程构建”的应用程序安全检测技术,受到行业的更多关注。那么 IAST 是否真的更适合 DevSecOps 流程构建?它能够提供哪些核心能力和关键技术,以及有哪些局限性,未来前景如何?对此,安全牛特别邀请到火线安全洞态 IAST 产品负责人董志勇先生,就 IAST 和 DevSe
Android Listview dongtai
05-18
5.在Activity中,通过获取数据源并更新适配器来动态展示数据。 下面是一个示例代码: MainActivity.java ``` public class MainActivity extends AppCompatActivity { private ListView mListView; private ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值