被動型IAST工具DongTai初體驗
導讀 |
被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具,而就在前幾天,洞態IAST正式開源了,這對於甲方構建安全工具鏈來說,絕對是一個大利好。
|
被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具,而就在前幾天,洞態IAST正式開源了,這對於甲方構建安全工具鏈來說,絕對是一個大利好。
我在5月份的時候就申請了洞態IAST企業版內測,算是比較早的一批使用者了。聊聊幾個我比較在意的問題,比如API介面覆蓋率、第三方開源元件檢測以及髒資料等問題,而這些都是安全測試過程中的痛點,那麼在這款工具的應用上,我們將找到答案。
在這裡,讓我們做一個簡單的安裝部署,接入靶場進行測試體驗。
1、快速安裝與部署
本地化部署可使用docker-compose部署,拉取程式碼,一鍵部署。
git clone https://github.com/HXSecurity/DongTai.git cd DongTai chmod u+x build_with_docker_compose.sh ./build_with_docker_compose.sh
首次使用預設賬號admin/admin登入,配置OpenAPI服務地址,即可完成基本的環境安裝和配置。
2、初步體驗
以Webgoat作為靶場,新建專案,載入agent,正常訪問web應用,觸發api檢測漏洞。
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
檢測到的漏洞情況:
這裡,推薦幾個使用java開發的漏洞靶場:
Webgoat: wavsep: bodgeit: SecExample:
最後,通過將IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安裝,就可以實現自動化安全測試,開啟漏洞收割模式,這應該會是很有意思的嘗試。
原文來自:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2793268/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- go 1.18 泛型初體驗Go泛型
- Canvas 動畫初體驗Canvas動畫
- 騰訊效能測試工具——PerfDog使用初體驗
- Rxjs初體驗:製作語音測試工具JS
- ReactNative初體驗React
- OpenCV 初體驗OpenCV
- http初體驗HTTP
- Flutter初體驗Flutter
- Nuxt 初體驗UX
- jQuery初體驗jQuery
- indexedDB 初體驗Index
- ollama 初體驗
- AQS初體驗AQS
- Compose初體驗
- krpano初體驗
- Angular 初體驗Angular
- outline初體驗
- Selenium 初體驗
- Prettier初體驗
- wepy初體驗
- Electron初體驗
- vscode初體驗VSCode
- SpringMVC初體驗SpringMVC
- laravel初體驗Laravel
- gRPC初體驗RPC
- golang 初體驗Golang
- Loki 初體驗Loki
- 查殺程式小工具——WPF和MVVM初體驗MVVM
- react hooks初體驗ReactHook
- Shiro-初體驗
- html初體驗#2HTML
- go modules 初體驗Go
- 10、Swoole 初體驗
- Kali Nethunter初體驗
- Kubernetes--初體驗
- Mybatis初體驗(二)MyBatis
- Vue 初體驗(上)Vue
- Python初體驗——列表Python