DongTai被动型IAST工具

被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

成都创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站设计制作、网站设计、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的宝坻网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

1、快速安装与部署

本地化部署可使用docker-compose部署,拉取代码,一键部署。

 
 
 
 
    
  
  
  
  
  1. git clone https://github.com/HXSecurity/DongTai.git 
    2. 
  
  
  
  
  2. cd DongTai 
    3. 
  
  
  
  
  3. chmod u+x build_with_docker_compose.sh 
    4. 
  
  
  
  
  4. ./build_with_docker_compose.sh 
    5.

首次使用默认账号admin/admin登录,配置OpenAPI服务地址,即可完成基本的环境安装和配置。

2、初步体验

以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。

 
 
 
 
    
  
  
  
  
  1. java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0 
    2.

检测到的漏洞情况:

这里,推荐几个使用java开发的漏洞靶场:

 
 
 
 
    
  
  
  
  
  1. Webgoat:https://github.com/WebGoat/WebGoat 
    2. 
  
  
  
  
  2. wavsep:https://github.com/sectooladdict/wavsep 
    3. 
  
  
  
  
  3. bodgeit:https://github.com/psiinon/bodgeit 
    4. 
  
  
  
  
  4. SecExample:https://github.com/tangxiaofeng7/SecExample 
    5.

 

最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

分享名称:DongTai被动型IAST工具
URL地址:http://www.zyruijie.cn/qtweb/news26/4126.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

定制网站知识

行业网站建设

南京护栏钻孔机    泸县网站建设    高防服务器租用    宜宾冠赛网站    成都定制网站    手机网站版本    专业网站设计    成都广告公司    信衡房屋鉴定    成都画册设计    小谭网创广告    温江服务器托管    成都网站推广    成都服务器租赁    网站推广    自贡服务器托管    专业网站建设    娃娃鱼鱼苗    成都包装设计公司    微信公众号开发