阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

被动型IAST工具DongTai初体验

82次阅读
没有评论

共计 1033 个字符,预计需要花费 3 分钟才能阅读完成。

导读 被动型 IAST 被认为是 DevSecOps 测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态 IAST 正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

被动型 IAST 工具 DongTai 初体验

被动型 IAST 被认为是 DevSecOps 测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态 IAST 正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。

我在 5 月份的时候就申请了洞态 IAST 企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如 API 接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

1、快速安装与部署

本地化部署可使用 docker-compose 部署,拉取代码,一键部署。

git clone https://github.com/HXSecurity/DongTai.git 
cd DongTai 
chmod u+x build_with_docker_compose.sh 
./build_with_docker_compose.sh

被动型 IAST 工具 DongTai 初体验

首次使用默认账号 admin/admin 登录,配置 OpenAPI 服务地址,即可完成基本的环境安装和配置。

被动型 IAST 工具 DongTai 初体验

2、初步体验

以 Webgoat 作为靶场,新建项目,加载 agent,正常访问 web 应用,触发 api 检测漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

检测到的漏洞情况:

被动型 IAST 工具 DongTai 初体验

这里,推荐几个使用 java 开发的漏洞靶场:

Webgoat:https://github.com/WebGoat/WebGoat 
wavsep:https://github.com/sectooladdict/wavsep 
bodgeit:https://github.com/psiinon/bodgeit 
SecExample:https://github.com/tangxiaofeng7/SecExample

最后,通过将 IAST 工具接入 DevOps 流程,在 CI/CD pipeline 中完成 Agent 的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计1033字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中