良许Linux教程网 干货合集 讲解一下被动型IAST工具:DongTai

讲解一下被动型IAST工具:DongTai

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

讲解一下被动型IAST工具:DongTai

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

1、快速安装与部署

本地化部署可使用docker-compose部署,拉取代码,一键部署。

git clone https://github.com/HXSecurity/DongTai.git 
cd DongTai 
chmod u+x build_with_docker_compose.sh 
./build_with_docker_compose.sh 
被动型IAST工具DongTai初体验被动型IAST工具DongTai初体验

首次使用默认账号admin/admin登录,配置OpenAPI服务地址,即可完成基本的环境安装和配置。

被动型IAST工具DongTai初体验被动型IAST工具DongTai初体验

2、初步体验

以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0 

检测到的漏洞情况:

被动型IAST工具DongTai初体验被动型IAST工具DongTai初体验

这里,推荐几个使用java开发的漏洞靶场:

Webgoat:https://github.com/WebGoat/WebGoat 
wavsep:https://github.com/sectooladdict/wavsep 
bodgeit:https://github.com/psiinon/bodgeit 
SecExample:https://github.com/tangxiaofeng7/SecExample 

最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

邮箱地址不会被公开。 必填项已用*标注

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部