脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → DongTai被动型IAST工具部署

java学习DongTai被动型IAST工具部署过程

 更新时间:2021年10月14日 16:46:17   作者:Bypass--  
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好

我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

01、环境准备 

Docker安装

1、安装所需的软件包
 sudo yum install -y yum-utils \
  device-mapper-persistent-data \
  lvm2

2、设置仓库 
sudo yum-config-manager \
    --add-repo \
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3、安装最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io

docker-compose安装

wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64  /usr/local/bin/docker-compose 
chmod +x /usr/local/bin/docker-compose  
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

02、快速安装与部署

洞态IAST支持多种部署方式,本地化部署可使用docker-compose部署。

$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh

首次使用默认账号admin/admin登录,配置dongtai-openapi,即可完成基本的环境部署和配置。

 

首次使用默认账号admin/admin登录,配置OpenAPO服务地址,即可完成基本的环境安装和配置。

03、初步测试体验

以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。

部署Agent:

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

 检测到的漏洞情况:

这里,推荐几个使用java开发的漏洞靶场:

Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample

最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

备注:删除所有容器 docker rm -f `docker ps -a -q`     删除所有镜像 docker rmi `docker images -q`

以上就是java学习DongTai被动型IAST工具部署过程的详细内容,更多关于DongTai被动型IAST工具部署的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • MybatisPlus多条件 or()的使用问题小结

    MybatisPlus多条件 or()的使用问题小结

    这篇文章主要介绍了MybatisPlus多条件 or()的使用问题小结,本文给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧
    2024-05-05
  • Hadoop2.8.1完全分布式环境搭建过程

    Hadoop2.8.1完全分布式环境搭建过程

    本文搭建了一个由三节点(master、slave1、slave2)构成的Hadoop完全分布式集群(区别单节点伪分布式集群),并通过Hadoop分布式计算的一个示例测试集群的正确性。对hadoop分布式环境搭建过程感兴趣的朋友跟随小编一起看看吧
    2019-06-06
  • IDEA 错误之找不到或无法加载主类的问题

    IDEA 错误之找不到或无法加载主类的问题

    这篇文章主要介绍了IDEA 错误之找不到或无法加载主类,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-08-08
  • Java基础之toString的序列化 匿名对象 复杂度精解

    Java基础之toString的序列化 匿名对象 复杂度精解

    序列化即为把内存中的对象转换为字节写入文件或通过网络传输到远端服务器,本章节将带你了解Java toString的序列化 匿名对象 复杂度,需要的朋友可以参考下
    2021-09-09
  • Java实现图片验证码具体代码

    Java实现图片验证码具体代码

    这篇文章主要为大家详细介绍了Java实现图片验证码具体代码,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2016-10-10
  • 解决IDEA错误 Cause: java.sql.SQLException: The server time zone value的问题

    解决IDEA错误 Cause: java.sql.SQLException: The server time zone

    这篇文章主要介绍了解决IDEA错误 Cause: java.sql.SQLException: The server time zone value的问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-08-08
  • 详解Mybatis Generator的具体使用教程

    详解Mybatis Generator的具体使用教程

    Mybatis Generator可以帮助我们自动生成很多结构化的代码,比如每张表对应的Entity、Mapper接口和Xml文件,可以省去很多繁琐的工作,今天通过本文给大家介绍Mybatis Generator的具体使用教程,感兴趣的朋友一起看看吧
    2022-02-02
  • 解决weblogic部署springboot项目步骤及可能会出现的问题

    解决weblogic部署springboot项目步骤及可能会出现的问题

    这篇文章主要介绍了解决weblogic部署springboot项目步骤及可能会出现的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • Java工厂模式优雅地创建对象以及提高代码复用率和灵活性

    Java工厂模式优雅地创建对象以及提高代码复用率和灵活性

    Java工厂模式是一种创建型设计模式,通过定义一个工厂类来封装对象的创建过程,将对象的创建和使用分离,提高代码的可维护性和可扩展性,同时可以实现更好的代码复用和灵活性
    2023-05-05
  • windows上nacos自启动的三种方法小结

    windows上nacos自启动的三种方法小结

    本文主要给大家介绍了windows上nacos自启动的三种方法,借助WinSW.exe添加到服务列表,修改nacos启动配置以及以开机"启动"方式——启动Nacos的startup.cmd这三种方法,文中通过图文讲解的非常详细,需要的朋友可以参考下
    2023-12-12

最新评论