首頁 > 軟體

java學習DongTai被動型IAST工具部署過程

2021-10-14 19:00:10

我在5月份的時候就申請了洞態IAST企業版內測,算是比較早的一批使用者了。聊聊幾個我比較在意的問題,比如API介面覆蓋率、第三方開源元件檢測以及髒資料等問題,而這些都是安全測試過程中的痛點,那麼在這款工具的應用上,我們將找到答案。

在這裡,讓我們做一個簡單的安裝部署,接入靶場進行測試體驗。

01、環境準備 

Docker安裝

1、安裝所需的軟體包
 sudo yum install -y yum-utils
  device-mapper-persistent-data
  lvm2

2、設定倉庫 
sudo yum-config-manager
    --add-repo
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3、安裝最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io

docker-compose安裝

wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64  /usr/local/bin/docker-compose 
chmod +x /usr/local/bin/docker-compose  
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

02、快速安裝與部署

洞態IAST支援多種部署方式,在地化部署可使用docker-compose部署。

$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh

首次使用預設賬號admin/admin登入,設定dongtai-openapi,即可完成基本的環境部署和設定。

 

首次使用預設賬號admin/admin登入,設定OpenAPO服務地址,即可完成基本的環境安裝和設定。

03、初步測試體驗

以Webgoat作為靶場,新建專案,載入agent,正常存取web應用,觸發api檢測漏洞。

部署Agent:

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

 檢測到的漏洞情況:

這裡,推薦幾個使用java開發的漏洞靶場:

Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample

最後,通過將IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安裝,就可以實現自動化安全測試,開啟漏洞收割模式,這應該會是很有意思的嘗試。

備註:刪除所有容器 docker rm -f `docker ps -a -q`     刪除所有映象 docker rmi `docker images -q`

以上就是java學習DongTai被動型IAST工具部署過程的詳細內容,更多關於DongTai被動型IAST工具部署的資料請關注it145.com其它相關文章!


IT145.com E-mail:sddin#qq.com