我在5月份的時候就申請了洞態(tài)IAST企業(yè)版內(nèi)測，算是比較早的一批用戶了。聊聊幾個我比較在意的問題，比如API接口覆蓋率、第三方開源組件檢測以及臟數(shù)據(jù)等問題，而這些都是安全測試過程中的痛點，那么在這款工具的應用上，我們將找到答案。

在這里，讓我們做一個簡單的安裝部署，接入靶場進行測試體驗。

01、環(huán)境準備 

Docker安裝

1、安裝所需的軟件包
 sudo yum install -y yum-utils \
  device-mapper-persistent-data \
  lvm2

2、設置倉庫 
sudo yum-config-manager \
    --add-repo \
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3、安裝最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io

docker-compose安裝

wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64  /usr/local/bin/docker-compose 
chmod +x /usr/local/bin/docker-compose  
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

02、快速安裝與部署

洞態(tài)IAST支持多種部署方式，本地化部署可使用docker-compose部署。

$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh

首次使用默認賬號admin/admin登錄，配置dongtai-openapi，即可完成基本的環(huán)境部署和配置。

首次使用默認賬號admin/admin登錄，配置OpenAPO服務地址，即可完成基本的環(huán)境安裝和配置。

03、初步測試體驗

以Webgoat作為靶場，新建項目，加載agent，正常訪問web應用，觸發(fā)api檢測漏洞。

部署Agent：

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

 檢測到的漏洞情況：

這里，推薦幾個使用java開發(fā)的漏洞靶場：

Webgoat：https://github.com/WebGoat/WebGoat
wavsep：https://github.com/sectooladdict/wavsep
bodgeit：https://github.com/psiinon/bodgeit
SecExample：https://github.com/tangxiaofeng7/SecExample

最后，通過將IAST工具接入DevOps流程，在CI/CD pipeline中完成Agent的安裝，就可以實現(xiàn)自動化安全測試，開啟漏洞收割模式，這應該會是很有意思的嘗試。

備注：刪除所有容器 docker rm -f `docker ps -a -q`     刪除所有鏡像 docker rmi `docker images -q`

以上就是java學習DongTai被動型IAST工具部署過程的詳細內(nèi)容，更多關于DongTai被動型IAST工具部署的資料請關注腳本之家其它相關文章！

最新評論