代码审计之JAVA代码审计洞态IAST系统以及SecExample靶场

最新推荐文章于 2024-07-25 11:35:55 发布
最新推荐文章于 2024-07-25 11:35:55 发布
阅读量6.3k 收藏 20
点赞数 2
文章标签: ubuntu 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52515588/article/details/124320871
版权

目录

2 JAVA系列代码审计

2.1 工具介绍

2.2 SecExample靶场安装

2.3 洞态IAST安装

2.3 洞态IAST使用

2 JAVA系列代码审计

之前我们都是采用代码审计工具对PHP代码进行审计,但是在实际的工作中对于从事代码审计的人员来说JAVA的代码审计也是必不可少的,那么接下来我会详细介绍一下JAVA代码审计的流程,供大家参考学习。

2.1 工具介绍

在接下来的操作中,我主要是利用洞态IAST以及Secexample靶场来完成对JAVA代码的审计过程。

所以我们需要前期准备安装好洞态IAST,利用Ubuntu虚拟机安装靶场。

洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。

主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义

支持的检测语言:Java、Python、PHP、Go

支持的部署方式:Docker、Kubernetes / SaaS 服务

参考内容:概览 | 洞态文档

2.2 SecExample靶场安装

SecExample是一个JAVA漏洞靶场,至于什么是JAVA漏洞靶场,学习网络安全的小伙伴应该不陌生吧,在这里我就不再介绍,直接安装吧(强调一下,接下来我主要是在虚拟机环境进行安装,如果本机有git的话,可以直接在本机安装靶场,语句都差不多)

图2.1

如图2.1所示,首先进入管理员模式下,然后输入:

(git clone https://github.com/tangxiaofeng7/SecExample.git)

//在此说明一下,这是一个啥也没安过得Ubuntu虚拟机,所以接下来我的操作可能会麻烦一点,如果你的虚拟机本身安装了一些东西,那么就可以跳过一些繁琐的步骤。

图2.2

对于一个空白机而言直接输入前面的语句肯定是有问题的,如图2.2所示,哎,不要慌。一般linux系统都会给你提示,接下来该怎么办,你就照着他的提示进行就好了。

输入apt install git,等待安装,不出意外的话肯定是又出意外了。

图2.3

跟上一步一样,根据提示继续安装一些没有的东西。如图2.3,输入apt-get update.

图2.4

上一步安装完成之后,可以再尝试一下之前的语句,完成靶场的安装如图2.4所示。

图2.5

靶场安装完成后,进入靶场如图2.5所示,语句cd SecExample

图2.6

输入语句docker-compose up -d根据图2.6继续操作。

图2.7

如图2.7所示靶场工作全部完成。

接下来准备安装洞态IAST系统。

2.3 洞态IAST安装

图2.8

输入语句apt-get update,如上图2.8所示。

图2.9

继续输入语句sudo apt-get install curl如图2.9所示。

图2.10

输入语句curl -sSL https://get.daocloud.io/docker | sh如图2.10,提示已经安装过了,那就不用管它,没有的话就继续等待完成安装即可。

图2.11

继续输入命令sudo apt-get install docker-compose如图2.11

图2.12

输入命令$ git clone https://github.com/HXSecurity/DongTai.git如图2.12

图2.13

继续输入命令

$ cd DongTai

$ chmod u+x build_with_docker_compose.sh

$ sudo ./build_with_docker_compose.sh

如图2.13等待安装完成即可(这里没有一步一步截图)

这一步安装完成以后,他会提示你输入一个端口号,这个端口号就是洞态IAST系统打开的端口号,根据自己的情况进行设置,为了避免冲突我设置的是92号端口。

图2.14

如上图2.14所示,浏览器中输入127.0.0.1:92(上一步设置的端口号)访问系统。

图2.15

为了使用方便我们也可以在主机访问洞态IAST系统,那么就需要知道Ubuntu的IP地址,如图2.15所示。

图2.16

如图2.16所示,就在主机成功打开了洞态IAST系统。

2.3 洞态IAST使用

图2.17

如图2.17所示接下来使用洞态IAST系统

图2.18

点击新建项目,根据图2.18进行选择。

图2.19

如上图2.19所示,点击添加代理。

图2.20

因为我们接下来是为了测试JAVA代码,所以在这里我们选择JAVA语言的代理进行下载。

图2.21

如图2.21所示,下载的代理要放在靶场文件下面,这一步要注意,如果之前使用本机git下载的那直接在本机找,如果根据我上面的Ubuntu下载的那就把虚拟机当中的文件复制过来也是一样的。要把JAVA代理放在target文件夹中。

图2.22

如图2.22所示,在命令行中输入java -javaagent:./agent.jar -Dproject.name=test -jar secexample-1.0.jar注意要先进入target目录下面,再输入这个命令,才能打开。

图2.23

如上图2.23所示我们可以看到在洞态IAST中显示agent数目多了一条。证明代理已成功执行。

图2.24

如图2.24所示,我们在本机访问127.0.0.1:8080/home

图2.25

我们选择一个想要验证的漏洞,然后输入验证语句,之后返回洞态IAST如图2.25所示。

图2.26

如图2.26我们也可以看到项目漏洞情况等信息。也可以再试试其他漏洞。

图2.27

如图2.27所示,可以导出漏洞报告。

图2.28

如图2.28报告导出成功。

以上所有操作全部完成。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

丞星星
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
web渗透--68--洞态IAST部署及使用
武天旭的博客
01-21 2642
前不久【洞态IAST】正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功能充面,想来开发应该不会那么牛逼的,那就是平台的问题了。 百度的OpenRASP-IAST除了不产出漏洞外,使用体验也是一个硬伤,这个就不多说了,可能是IAST只是一个附加产物,毕竟人家第一称谓是RASP。
洞态IAST实现思路分享及讨论
weixin_40418457的博客
05-25 1336
素十八师傅之前对洞态IAST的源码进行了一波深入分析,吐槽了一些地方,首先感谢师傅的精心研究及Diss,其中存在的问题已经基本解决,遗留的问题也在解决中,本文将对分析文章中存在的误解及疑问进行解答。 感谢素十八师傅对洞态IAST代码的分析,文章地址:[> 洞态IAST源码分析及Diss][0] 根据师傅的分析以及提出的疑问,将逐部分进行解答。本文将回答下面3个问题: 洞态IAST开源的java agent应该如何使用? 检测引擎如何区分应用? SCA实现原理 一、如何编译并使用本地Java A
fortify+DVWA靶场和动态IAST审计JAVA靶场
抗争小青年的博客
05-07 2007
fortify+DVWA靶场和动态IAST审计JAVA靶场
Java安全
q
06-19 1201
靶场地址查看数据库配置文件,mysql,用户名密码根据自己数据库密码更改使用小皮面板的mysql,新建一个数据名为javasec的数据库运行javasec.sql文件下载运行即可访问本地8000端口,用户名密码admin,admin。
典型的Java Web漏洞:常见漏洞的代码审计
人邮异步社区
08-15 1571
OWASP TOP 10总结了Web应用程序中常见且极其危险的十大漏洞,在第5章中我们以2017版本为例详细介绍了这10项漏洞在代码审计中的审计知识,但除了 OWASP Top 10外,还有很多漏洞值得我们在代码审计中给予关注。本章将介绍一些不包括在“OWASP TOP 10 2017”的一些漏洞的代码审计知识。 6.1 CSRF CSRF(Cross Site Request Forgery,跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际
洞态IAST Agent正式开源
weixin_40418457的博客
04-02 5114
一、洞态IAST 洞态IAST是一款被动式的交互式安全测试工具,具有漏洞检出率高、误报率低、无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测、支持微服务/API网关/分布式应用等应用架构下的漏洞检测、支持对移动APP的后端服务器进行漏洞检测等优点。此外,洞态IAST支持在不发送数据包的前提下对历史数据中未出现漏洞的API进行的重复检测,最大可能的检测出漏洞。 1.洞态IAST的原理介绍 IAST的核心技术点有三个: 值传递算法 污点链路梳理 Hook策略 其中,值传递算法
洞态IAST的部署及使用(以Tomcat为例)
weixin_45260839的博客
07-14 1540
洞态IAST的部署及使用(以Tomcat为例)
一本真正入门级别的Java代码安全审计专业技术图书上架啦!
人邮异步社区
08-06 890
在“攻”方面,传统的通过扫描器扫描站点或利用 NDay来渗透的方式已经受到了很大的制约,现在及未来的典型渗透测试流程是:确定站点指纹→通过旁站扫描备份或开源程序得到源代码→代码审计→利用审计出来的漏洞制定修订措施,所以代码审计能力也越发重要。 在“防”方面,国内有大量网站都曾遭到过拖库,其中相当一部分漏洞是因为代码导致的。如果企业安全人员具备代码审计的能力,能够提前做好代码审计工作,在黑客发现系统漏洞之前找出安全隐患,提前部署相应安全防御措施,可落实“安全左移”,提高应用系统的安全性,从而“治未病”。
洞态IAST自动检测S2-007漏洞
weixin_40418457的博客
04-30 866
1. 启动在线靶场 登陆 在线靶场,启动S2-007环境,等待环境启动之后,点击访问靶场按钮即可前往靶场环境。该环境来源于vulhub和vulapps 2. 查看检测结果 登陆洞态IAST官方网站,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.struts2.dispatcher.Dispatcher.DefaultActionMapper#createContextMap()方法中,调用Servlet接口的getParameterM
Java代码审计Java代码审计基础知识「一」
橙留香Park的博客
11-03 3850
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Ubuntu22.04安装Go语言的几种方式
ALONG的博客
07-25 645
Go 推荐使用工作空间(workspace)的概念来组织代码。:Go 语言有许多有用的第三方工具,你可以使用它们来增强开发体验,例如。:安装完成后,你可以通过阅读官方文档、在线教程或书籍来学习 Go 语言。请注意,Go 语言的版本更新频繁,上述命令中使用的版本号(例如。建议访问 Go 官方网站下载最新版本。请检查 Go 官方网站以获取最新版本的下载链接。配置 Go 环境变量。这将把 Go 安装到。来创建一个工作空间。
【解决】ubuntu20.04 root用户无法SSH登陆问题
SummerGao
07-24 239
保存并关闭文件之后,需要重启SSH服务以使更改生效。以允许root用户通过SSH登录。设置,并将其值更改为。
ubuntu20.04安装终端终结者并设置为默认终端
qq_60513199的博客
07-24 395
2、Ctrl+ Alt + T 试一下打开什么终端,我的默认启动的是terminator;如果想换换默认的终端,还需以下一步。,这个是设置默认终端的必须。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8354
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
LABVIEW TCP通讯调试助手
07-29
本文接收如何利用Labview的TCP通讯工具做通讯,这里手把手教各位做一个简单的TCP通讯调试助手,可以局域网互相聊天哦! 具体介绍见下面连接:https://download.csdn.net/download/weixin_41671635/89595897
机器学习与人工智能教程
07-29
机器学习与人工智能教程
零基础入门转录组数据分析-WGCNA(加权基因共表达网络) 配套资源
最新发布
07-29
零基础入门转录组数据分析-WGCNA(加权基因共表达网络) https://blog.csdn.net/weixin_49878699/article/details/140304846 教程配套的原始数据+代码+处理好的数据文件
【创新未发表】Matlab实现引力搜索优化算法GSA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
洞态IAST内网私有化部署详细方案
05-29
以下是洞态IAST内网私有化部署的详细方案: 1. 确认服务器环境 首先需要确认部署洞态IAST的服务器环境是否符合洞态IAST的要求。具体要求可以参考洞态IAST官方文档。需要注意的是,服务器环境需要满足以下要求: - 操作系统:CentOS 7.2及以上版本,或者Ubuntu 16.04及以上版本。 - 内存:至少8GB。 - 硬盘:至少100GB,建议使用SSD硬盘。 - CPU:建议使用4核及以上的CPU。 2. 下载离线包 在确认服务器环境符合要求之后,需要下载洞态IAST的离线包。可以在洞态IAST官方网站上下载,或者联系洞态IAST的销售团队获取。 需要注意的是,离线包的大小较大,下载可能需要一定的时间和带宽。 3. 安装数据库 洞态IAST需要使用数据库来存储扫描结果等信息,因此需要先安装数据库。可以选择使用MySQL或者PostgreSQL等关系型数据库。 安装过程可以参考数据库官方文档。 4. 安装洞态IAST 在安装洞态IAST之前,需要确认服务器已经安装了Java环境。可以通过以下命令检查: ```bash java -version ``` 如果没有安装Java环境,则需要先安装Java环境。 在安装洞态IAST之前,需要在服务器上创建一个新的非root用户,并授权该用户访问数据库。 然后将下载的离线包上传到服务器,并解压缩到指定目录。进入解压缩后的目录,执行以下命令: ```bash ./install.sh ``` 接着按照提示进行安装,需要输入数据库连接信息、管理员账号密码、安装路径等信息。 安装完成后,可以使用以下命令启动洞态IAST: ```bash systemctl start iast.service ``` 5. 配置代理 如果部署在内网环境中,可能需要配置代理才能让洞态IAST访问外网。可以在洞态IAST的安装目录下的`iast.properties`文件中进行配置,将代理地址和端口号填入即可。 需要注意的是,如果代理需要进行身份验证,则需要在配置文件中同时填入用户名和密码。 6. 配置扫描信息 在进行应用程序扫描之前,需要配置扫描信息。可以通过洞态IAST的Web界面进行配置。 登录洞态IAST的Web界面,进入“扫描管理”页面,点击“新建扫描任务”,填写扫描任务的相关信息。需要注意的是,需要填写正确的应用程序地址和端口号,才能保证扫描结果的准确性。 7. 进行应用程序扫描 在配置好扫描信息之后,就可以进行应用程序扫描了。可以在洞态IAST的Web界面中查看扫描结果。 需要注意的是,扫描过程可能会占用较多的服务器资源,因此建议在空闲时间进行扫描,并根据具体情况进行资源调整。 以上就是洞态IAST内网私有化部署的详细方案,希望能对您有所帮助。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值