java學(xué)習(xí)DongTai被動(dòng)型IAST工具部署過(guò)程
我在5月份的時(shí)候就申請(qǐng)了洞態(tài)IAST企業(yè)版內(nèi)測(cè),算是比較早的一批用戶了。聊聊幾個(gè)我比較在意的問(wèn)題,比如API接口覆蓋率、第三方開(kāi)源組件檢測(cè)以及臟數(shù)據(jù)等問(wèn)題,而這些都是安全測(cè)試過(guò)程中的痛點(diǎn),那么在這款工具的應(yīng)用上,我們將找到答案。
在這里,讓我們做一個(gè)簡(jiǎn)單的安裝部署,接入靶場(chǎng)進(jìn)行測(cè)試體驗(yàn)。
01、環(huán)境準(zhǔn)備
Docker安裝
1、安裝所需的軟件包
sudo yum install -y yum-utils \
device-mapper-persistent-data \
lvm22、設(shè)置倉(cāng)庫(kù)
sudo yum-config-manager \
--add-repo \
http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3、安裝最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io
docker-compose安裝
wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64 mv docker-compose-Linux-x86_64 /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
02、快速安裝與部署
洞態(tài)IAST支持多種部署方式,本地化部署可使用docker-compose部署。
$ git clone https://github.com/HXSecurity/DongTai.git $ cd DongTai $ chmod u+x build_with_docker_compose.sh $ ./build_with_docker_compose.sh
首次使用默認(rèn)賬號(hào)admin/admin登錄,配置dongtai-openapi,即可完成基本的環(huán)境部署和配置。
首次使用默認(rèn)賬號(hào)admin/admin登錄,配置OpenAPO服務(wù)地址,即可完成基本的環(huán)境安裝和配置。
03、初步測(cè)試體驗(yàn)
以Webgoat作為靶場(chǎng),新建項(xiàng)目,加載agent,正常訪問(wèn)web應(yīng)用,觸發(fā)api檢測(cè)漏洞。
部署Agent:
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
檢測(cè)到的漏洞情況:
這里,推薦幾個(gè)使用java開(kāi)發(fā)的漏洞靶場(chǎng):
Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample
最后,通過(guò)將IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安裝,就可以實(shí)現(xiàn)自動(dòng)化安全測(cè)試,開(kāi)啟漏洞收割模式,這應(yīng)該會(huì)是很有意思的嘗試。
備注:刪除所有容器 docker rm -f `docker ps -a -q` 刪除所有鏡像 docker rmi `docker images -q`
以上就是java學(xué)習(xí)DongTai被動(dòng)型IAST工具部署過(guò)程的詳細(xì)內(nèi)容,更多關(guān)于DongTai被動(dòng)型IAST工具部署的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
java使用FFmpeg合成視頻和音頻并獲取視頻中的音頻等操作(實(shí)例代碼詳解)
這篇文章主要介紹了java使用FFmpeg合成視頻和音頻并獲取視頻中的音頻等操作,本文通過(guò)實(shí)例代碼給大家介紹的非常詳細(xì),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2020-02-02Java正則表達(dá)式_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
什么是正則表達(dá)式,正則表達(dá)式的作用是什么?這篇文章主要為大家詳細(xì)介紹了Java正則表達(dá)式的相關(guān)資料,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2017-05-05Java中獲取時(shí)間戳的三種方式對(duì)比實(shí)現(xiàn)
這篇文章主要介紹了Java中獲取時(shí)間戳的三種方式對(duì)比實(shí)現(xiàn),文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2021-01-01MyBatis?Generator快速生成實(shí)體類和映射文件的方法
這篇文章主要介紹了MyBatis?Generator快速生成實(shí)體類和映射文件的方法,通過(guò)示例代碼介紹了MyBatis?Generator?的使用,本文結(jié)合示例代碼給大家介紹的非常詳細(xì),需要的朋友可以參考下2023-10-10Springboot如何配置yml文件與映射到j(luò)ava類
這篇文章主要介紹了Springboot如何配置yml文件與映射到j(luò)ava類問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2023-09-09詳解Spring中singleton?bean如何同時(shí)服務(wù)多個(gè)請(qǐng)求
這篇文章主要介紹了詳解Spring中singleton?bean如何同時(shí)服務(wù)多個(gè)請(qǐng)求2023-02-02一次 Java 內(nèi)存泄漏的排查解決過(guò)程詳解
這篇文章主要介紹了一次 Java 內(nèi)存泄漏的排查過(guò)程詳解,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下2019-07-07