導讀	被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具，而就在前幾天，洞態IAST正式開源了，這對於甲方構建安全工具鏈來說，絕對是一個大利好。

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具，而就在前幾天，洞態IAST正式開源了，這對於甲方構建安全工具鏈來說，絕對是一個大利好。

我在5月份的時候就申請了洞態IAST企業版內測，算是比較早的一批使用者了。聊聊幾個我比較在意的問題，比如API介面覆蓋率、第三方開源元件檢測以及髒資料等問題，而這些都是安全測試過程中的痛點，那麼在這款工具的應用上，我們將找到答案。

在這裡，讓我們做一個簡單的安裝部署，接入靶場進行測試體驗。

1、快速安裝與部署

本地化部署可使用docker-compose部署，拉取程式碼，一鍵部署。

git clone https://github.com/HXSecurity/DongTai.git 
cd DongTai 
chmod u+x build_with_docker_compose.sh 
./build_with_docker_compose.sh

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

首次使用預設賬號admin/admin登入，配置OpenAPI服務地址，即可完成基本的環境安裝和配置。

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

2、初步體驗

以Webgoat作為靶場，新建專案，載入agent，正常訪問web應用，觸發api檢測漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

檢測到的漏洞情況：

被動型IAST工具DongTai初體驗被動型IAST工具DongTai初體驗

這裡，推薦幾個使用java開發的漏洞靶場：

Webgoat：
wavsep：
bodgeit：
SecExample：

最後，透過將IAST工具接入DevOps流程，在CI/CD pipeline中完成Agent的安裝，就可以實現自動化安全測試，開啟漏洞收割模式，這應該會是很有意思的嘗試。

原文來自：

被動型IAST工具DongTai初體驗

相關文章