被動型IAST工具DongTai初體驗

大雄45發表於2021-09-23
導讀 被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具,而就在前幾天,洞態IAST正式開源了,這對於甲方構建安全工具鏈來說,絕對是一個大利好。

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具,而就在前幾天,洞態IAST正式開源了,這對於甲方構建安全工具鏈來說,絕對是一個大利好。

我在5月份的時候就申請了洞態IAST企業版內測,算是比較早的一批使用者了。聊聊幾個我比較在意的問題,比如API介面覆蓋率、第三方開源元件檢測以及髒資料等問題,而這些都是安全測試過程中的痛點,那麼在這款工具的應用上,我們將找到答案。

在這裡,讓我們做一個簡單的安裝部署,接入靶場進行測試體驗。

1、快速安裝與部署

本地化部署可使用docker-compose部署,拉取程式碼,一鍵部署。

git clone https://github.com/HXSecurity/DongTai.git 
cd DongTai 
chmod u+x build_with_docker_compose.sh 
./build_with_docker_compose.sh

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

首次使用預設賬號admin/admin登入,配置OpenAPI服務地址,即可完成基本的環境安裝和配置。

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

2、初步體驗

以Webgoat作為靶場,新建專案,載入agent,正常訪問web應用,觸發api檢測漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

檢測到的漏洞情況:

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

這裡,推薦幾個使用java開發的漏洞靶場:

Webgoat:
wavsep:
bodgeit:
SecExample:

最後,通過將IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安裝,就可以實現自動化安全測試,開啟漏洞收割模式,這應該會是很有意思的嘗試。

原文來自:

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2793268/,如需轉載,請註明出處,否則將追究法律責任。