IAST 实践利用洞态做开源组件的安全治理

最新推荐文章于 2024-05-11 04:22:24 发布
最新推荐文章于 2024-05-11 04:22:24 发布
阅读量515 收藏 1
点赞数
分类专栏: IAST DevOps 文章标签: 安全 web安全 devops 安全漏洞
原文链接:https://www.freebuf.com/articles/es/319809.html
版权
IAST 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
DevOps
10 篇文章 0 订阅
订阅专栏

背景

某大型集团在使用洞态一段时间后,发现其配套使用的组件管理的漏洞知识库内容存在滞后性和部分不准确性。倘若将这些内容引入到工单系统中作为安全组件整改任务,那么提供给开发部门的漏洞描述、漏洞危害和修复建议便会显得没有说服力。因此需要寻找实时、有效且免费的安全漏洞知识库的信息来源。

解决方案

目前业内开源组件的安全知识库的来源,主要有两种:

  • 人工维护的商用漏洞数据库
  • NVD 免费漏洞数据库

由于使用洞态提供的组件信息,最好还是集成免费信息来源。由于 dependency check 工具是通过调用 NVD 数据进行组件安全漏洞识别,因此一开始是想基于其扫描原理进行二次开发,从而配合洞态组件信息进行组件检测,但其工作量太高。

在这里插入图片描述

于是直接用 python 本地调取NVD 数据进行识别。

def nvd_download():
    for i  in range(2002,2022):
        url = "https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-{}.json.gz".format(i)
        r = requests.get(url=url)
        pathname = os.path.join("/opt/vul",url.split("/")[-1])
        with open(pathname,"wb") as f:
            f.write(r.content)
            f.close()

但是在实际使用时,我并不知道如何去构造 CPE 语句进行查询,因此这种方案暂时被放弃了。

在这里插入图片描述

此后,偶然发现在 maven 仓库中居然有每个版本的漏洞信息。那么我是否可以根据自身项目与其做对比,获取安全漏洞信息?

在这里插入图片描述

实际落地

当我想通过自动化方式去获取信息时,发现会触发 cloudflare 的五秒盾,进入人机识别。

在这里插入图片描述

后面花时间研究了一下绕过 CF 的手段——使用 selemiun + chrome 有界面请求一次,关闭浏览器,再请求一次,关闭浏览器,如此循环,即可绕过(外网 IP 访问很少会触发拦截)。

洞态开源组件 API 提供的组件名字内容如下:

components = [
'log4j-1.2.16.jar',
'log4j-1.2.17.jar',
'log4j-ecs-layout-0.1.3.jar',
'maven:com.fasterxml.jackson.core:jackson-databind:2.8.4:',
'maven:com.fasterxml.jackson.core:jackson-databind:2.9.10.6:',
'maven:mysql:mysql-connector-java:5.1.34:',
'maven:org.springframework.amqp:spring-amqp:1.1.3.RELEASE:',
'maven:org.springframework.amqp:spring-amqp:1.7.5.RELEASE:',
'maven:org.springframework.amqp:spring-rabbit:1.1.3.RELEASE:',
'maven:org.springframework.integration:spring-integration-ftp:4.3.7.RELEASE:',
'maven:org.springframework.integration:spring-integration-kafka:2.2.0.RELEASE:',
'maven:org.springframework.kafka:spring-kafka:1.2.3.RELEASE:',
'maven:org.springframework.retry:spring-retry:1.1.3.RELEASE:',
'maven:org.springframework.retry:spring-retry:1.2.1.RELEASE:',
'maven:org.springframework:spring-aop:4.3.29.RELEASE:',
'mybatis-3.1.1.jar',
'mybatis-3.2.3.jar',
'mybatis-spring-1.2.0.jar',
'xstream-1.3.1.jar',
'xstream-1.4.14.jar',
'zkclient-0.1.jar',
'zookeeper-3.3.6.jar',
'abc-SNAPSHOT.jar'
​
]

我将其划分为三种类型:

自带 maven 字符:这种类型可以直接拆分,作为参数内容可以传参;
SNAPSHOT:这种类型定义为业务系统打包生成,忽略;
其他:这种类型要放到 maven 中搜索,找到其地址。

for c in components:
    c = c.replace(".jar",'')
    if  "maven:" in c:
        print(c+":  "+str(maven_component(c)))
    elif "SNAPSHOT" in c:
        pass
    else:
        print(c+":  "+str(search_component(c)))

maven 提供的安全漏洞信息分为 direct(直接影响)和dependencies(当前组件的依赖组件中存在的漏洞),我们关注直接影响,忽略被受影响。

在这里插入图片描述

运行结果如下,包含四个字段内容:组件名字、CVE 列表(cvelist)、安全版本(safe_version)、组件名字组织(org)。

log4j-1.2.16:  ([], '', '')
log4j-1.2.17:  ([], '', '')
log4j-ecs-layout-0.1.3:  ([], '', '')
maven:com.fasterxml.jackson.core:jackson-databind:2.8.4::  (['CVE-2021-20190', 'CVE-2020-9548', 'CVE-2020-9547', 'CVE-2020-8840', 'CVE-2020-36188', 'CVE-2020-36186', 'CVE-2020-36184', 'CVE-2020-36182', 'CVE-2020-36180', 'CVE-2020-35491', 'CVE-2020-25649', 'CVE-2020-24616', 'CVE-2019-20330', 'CVE-2019-17267', 'CVE-2019-16942', 'CVE-2019-14892', 'CVE-2019-14439', 'CVE-2019-12814', 'CVE-2019-12086', 'CVE-2018-5968', 'CVE-2018-19361', 'CVE-2018-14721', 'CVE-2018-14719', 'CVE-2018-12023', 'CVE-2018-12022', 'CVE-2017-7525', 'CVE-2017-15095'], '2.10.5.1', 'com.fasterxml.jackson.core')
maven:com.fasterxml.jackson.core:jackson-databind:2.9.10.6::  (['CVE-2021-20190', 'CVE-2020-36189', 'CVE-2020-36188', 'CVE-2020-36187', 'CVE-2020-36185', 'CVE-2020-36183', 'CVE-2020-36181', 'CVE-2020-36179', 'CVE-2020-35490'], '2.10.5.1', 'com.fasterxml.jackson.core')
maven:mysql:mysql-connector-java:5.1.34::  (['CVE-2019-2692'], '8.0.16', 'mysql')
maven:org.springframework.amqp:spring-amqp:1.1.3.RELEASE::  ([], '', 'org.springframework.amqp')
maven:org.springframework.amqp:spring-amqp:1.7.5.RELEASE::  ([], '', 'org.springframework.amqp')
maven:org.springframework.amqp:spring-rabbit:1.1.3.RELEASE::  ([], '', 'org.springframework.amqp')
maven:org.springframework.integration:spring-integration-ftp:4.3.7.RELEASE::  ([], '', 'org.springframework.integration')
maven:org.springframework.integration:spring-integration-kafka:2.2.0.RELEASE::  ([], '', 'org.springframework.integration')
maven:org.springframework.kafka:spring-kafka:1.2.3.RELEASE::  ([], '', 'org.springframework.kafka')
maven:org.springframework.retry:spring-retry:1.1.3.RELEASE::  ([], '', 'org.springframework.retry')
maven:org.springframework.retry:spring-retry:1.2.1.RELEASE::  ([], '', 'org.springframework.retry')

​最后将 CVE 放到CVE search 中查找到漏洞描述和漏洞评分。

在这里插入图片描述

关于洞态 IAST

洞态 IAST 是全球首个开源 IAST,于2021年9月1日正式开源发布。洞态 IAST 专注于 DevSecOps,具备高检出率、低误报率、无脏数据的特点,帮助企业在应用上线前发现并解决安全风险。自开源发布以来,洞态 IAST 备受开源社区人员和企业的关注,包括去哪儿、同程旅行、轻松筹、好大夫在线等在内的上百家企业均已成为洞态用户。

官网地址:http://dongtai.io

火线安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--68--IAST部署及使用
武天旭的博客
01-21 2637
前不久【IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1543
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
Release Notes - ZooKeeper - Version 3.6.0
BLOG域名:programb.blog.csdn.net
04-28 906
New Feature ZOOKEEPER-27 - Unique DB identifiers for servers and clients ZOOKEEPER-1260 - Audit logging in ZooKeeper servers. ZOOKEEPER-1634 - A new feature proposal to ZooKeeper: authentication enfor...
2024年最全【IAST安全左移最佳工具】(2),2024年最新【设计思想解读开源框架】
最新发布
2401_84132685的博客
05-11 841
IAST将手动安全测试变成了自动化。
IAST的部署及使用(以Tomcat为例)
weixin_45260839的博客
07-14 1539
IAST的部署及使用(以Tomcat为例)
这款牛逼的开源安全工具让我这个运维也变成“安全专家”
murphysec的博客
03-24 417
非常感谢用户水妖的内容投稿! 背景 我是一家互联网公司的 DevOps 工程师,平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏检测工具结缘,主要是因为前段时间log4j2 的漏,最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏,我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏,比如 log4j2 或者 fastjson 类似这样的问题。 经过一番调研,公司刚好有几个研发正在用墨菲安全的IDE插件,我看他也有一个命令行的工具,可.
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 DAST-代理型WEB扫描器 IAST-插桩主动型IAST IAST-插桩...
IAST实践分享 - 安全技术资料汇总(共2份).zip
02-06
DevSecOps是一种将安全实践融入整个软件开发生命周期的理念,它强调在敏捷开发流程中尽早并持续地进行安全测试。"DevSecOps敏捷安全技术落地实践探索2021.pdf"文档中详细阐述了如何将安全检查和控制嵌入到传统的...
DongTai-agent-java:“火线〜IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
后更称为“IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链项目介绍“火线〜IAST”是成套专为甲方安全人员...
悬镜安全李浩:浅谈IAST如何赋能企业开发安全.pdf
09-18
悬镜安全李浩:浅谈IAST如何赋能企业开发安全 移动安全 安全人才 web安全 攻防实训与靶场 安全实践
通过IAST和RASP改变应用安全的发展势.pdf
08-29
通过IAST和RASP改变应用安全的发展势 区块链 网络安全分析 web安全 安全运营
IAST交互式应该用程序安全测试技术分享
11-28
开发阶段为引入漏最关键的阶段,超过50%的安全由错误的编码产生。究其原因是因为 开发人员对所使用的语言与技术的安全特性不了解,写出的代码符合功能上的需求,但缺乏安全 上的考虑
开源组件安全风险及应对
ZL_1618的博客
04-17 977
在软件开发的过程中,为了提升开发效率、软件质量和稳定性,并降低开发成本,使用开源组件是开发人员的不二选择(实际上,所有软件开发技术的演进都是为了能够更短时间、更低成本地构建软件)。这里的开源组件指的是以开源许可证发布的软件组件、库、框架和工具等,组件的源代码是公开的,而根据不同的许可协议,版权所有者可以授予用户使用、研究、更改和分发软件及其源代码的权力。
RASP之IAST扫描器的安装及使用
Jiajiajiang_的博客
01-09 3192
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 Elatic...
一文悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈
热门推荐
liqiuman180688的博客
04-19 2万+
袁新平@默安科技 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyo...
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1424
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静应用安全测试)和DAST(动应用安全测试)
开源治理初次实践
jennycisp的博客
10-23 155
在成熟度模型中,还涉及到了测评选型、使用管理、运维管理、定期健康、退出管理和第三方管理工作。限于我们的治理精力,我们并未对其他维度进行更细化的工作,但简单来说,其他维度大部分都满足成熟度模型中的基础级要求。在未来的工作中,我们将开始迈入上述成熟度模型中组织机制、管理制度、存量盘点和风险管理的增强级要求建设工作,完善测评选型、使用管理、运维管理、定期健康、退出管理和第三方管理工作的基础级要求。开源组件的许可证问题也将在未来,开始着手进行初步的治理工作。
开源治理的基本实践与指导原则
分享平台工程、应用部署的最佳实践
09-01 650
各种规模和各行各业的公司都在开发软件产品,并依靠开源代码来实现。业界领先的研究咨询公司 Forrester 和 Gartner 都表明,80%-90% 的商业软件开发人员在其应用程序中使用开源组件。随着开源项目的增多,在没有预防措施的情况下使用开源组件的风险也在增加。而开源治理可以帮助和指导开发人员如何使用开源工具来优化开源软件,同时降低风险。本文将讨论开源治理的基本实践与指导原则,帮助降低安全风险的同时增加责任感。...
Zeroshell 操作系统命令注入漏复现(CVE-2019-12725)
千寻的博客
05-22 2248
介绍 Zeroshell 是一个微型的linux发行版本,它功能强大,具有强大的router、radius、web门户、防火墙、virtual**、Qos、 DHCP、dns转发等功能, 可以用来安装到服务器上为内网提供网络服务, 而且安装和使用都很方便,有U盘,Live CD和Flash imgage文件用于安装, 可以使用web界面进行设置和管理。想自己部署软路由,又不想编译,找驱动程序,或者别人编译的固件有后门, 可以考虑用Zeroshell替代Openwrt/LEDE。 总的来说Zeroshell
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值