java学习DongTai被动型IAST工具部署过程
我在5月份的时候就申请了洞态iast企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如api接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。
在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。
01、环境准备
docker安装
1、安装所需的软件包
sudo yum install -y yum-utils \
device-mapper-persistent-data \
lvm22、设置仓库
sudo yum-config-manager \
--add-repo \
http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo3、安装最新版本的 docker engine-community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io
docker-compose安装
wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-linux-x86_64 mv docker-compose-linux-x86_64 /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
02、快速安装与部署
洞态iast支持多种部署方式,本地化部署可使用docker-compose部署。
$ git clone https://github.com/hxsecurity/dongtai.git $ cd dongtai $ chmod u+x build_with_docker_compose.sh $ ./build_with_docker_compose.sh
首次使用默认账号admin/admin登录,配置dongtai-openapi,即可完成基本的环境部署和配置。
首次使用默认账号admin/admin登录,配置openapo服务地址,即可完成基本的环境安装和配置。
03、初步测试体验
以webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。
部署agent:
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
检测到的漏洞情况:
这里,推荐几个使用java开发的漏洞靶场:
webgoat:https://github.com/webgoat/webgoat
wavsep:
bodgeit:
secexample:https://github.com/tangxiaofeng7/secexample
最后,通过将iast工具接入devops流程,在ci/cd pipeline中完成agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。
备注:删除所有容器 docker rm -f `docker ps -a -q` 删除所有镜像 docker rmi `docker images -q`
以上就是java学习dongtai被动型iast工具部署过程的详细内容,更多关于dongtai被动型iast工具部署的资料请关注其它相关文章!
上一篇: 诸葛亮临终前才明白刘禅在装傻吗?
下一篇: 音乐播放器页面之音频播放页面设计