代码审计之洞态IAST 0day挖掘

简介: 代码审计之洞态IAST 0day挖掘

1. 介绍

交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看,插桩(Instrumented)式应用安全测试或许是一个更好的说法。IAST不是一个扫描器,重要的事说两遍,它不是一个扫描器,IAST持续地从内部监控你应用中的漏洞,在整个开发生命周期中,IAST通过你在开发和测试中使用的工具,实时地提供报警。

IAST最显著的特性是它使用插桩来收集安全信息,直接从运行中的代码发现问题,不是源代码扫描(SAST),也不是HTTP 扫描(DAST)。但那并不意味着你要等到产品上线时才使用它,恰恰相反,你可在IDE中,当开始编写和测试第一行代码时,就使用IAST。

自有代码安全测试:IAST能够自动化地分析应用和API 中的自有代码,找出以前没有发现的(零 day)漏洞,能够识别很宽范围的漏洞,包括并不限于OWASP Top 10,还有其他更复杂的漏洞。

开源软件安全测试:IAST也能用来测试开源库和框架的安全性,一般有两个维度。首先,IAST能识别困扰开源软件的已知漏洞(如CVE发布),其次,IAST能识别开源软件中以前未知的(潜在)漏洞。

除了洞态,还有百度开发的openrasp,docker拉取镜像,在安装pip依赖的时候报错,手动部署后,安装agent稍微有点麻烦,支持的框架也少,不能配合IDA进行检测(pass)

github地址:

    https://github.com/HXSecurity/DongTai

    环境

    云主机
    docker
    docker-compose
    IDEA

    下载源码

      wget https://github.com/HXSecurity/DongTai/archive/refs/tags/v1.4.1.tar.gz

      下载docker

      // centos
      yum install docker -y
      // ubuntu debian
      apt install docker -y

      下载docker-compose

        wget https://github.com/docker/compose/releases/download/v2.6.1/docker-compose-linux-x86_64

        给docker-compose添加执行权限,然后改名放到/bin/目录下 /usr/bin也可以

        解压源码

        运行build文件 自动下载  等待十多分钟就可以了

        640.png

          ./build_with_docker_compose.sh

          选择开放端口,默认80

          默认口令是 admin/admin


          初始化后,就可以配置agent了。

          直接点击jar下载

          640.png

          因为我的项目是IDEA搭建的 所以我直接在IDEA中参数配置添加agent。

          -javaagent:/xx/dongtai-agent.jar

          启动IDEA后,日志输出记录,web端也会收到流量和信息。


          然后进入项目,访问页面,让平台增加流量,对数据包进行监测


          进到项目中,会检测项目中存在的漏洞,和组件漏洞

          640.png

          随便找一个,看看数据包

          测流量半个多小时了,啥都没监测出来,一堆xss呢,sql注入呢,我真的是服了这个老六,难不成我版本低就不行?

          这个地方存在sql,它愣是没检测到,我输入payload 也没有

          640.png

          看了下规则,sql注入的 基于java.sql.*传参比较多,而项目中使用了mybatis,就不会有java.sql.*的方式执行sql,所以就没检测到

          手工挖掘,然后sqlmap执行











          相关文章
          |
          4月前
          |
          安全 测试技术 网络安全
          网络安全中的渗透测试与风险评估:技术深度解析
          【7月更文挑战第3天】在网络安全领域,渗透测试和风险评估是两种不可或缺的技术手段。通过模拟黑客的攻击手段来发现系统中的安全漏洞,以及通过系统性的方法来识别和评估潜在的风险和威胁,两者共同为组织提供了全面的网络安全保障。随着技术的不断发展和网络环境的日益复杂,渗透测试和风险评估的重要性将日益凸显。因此,网络安全从业者应不断学习和掌握这两种技术,以应对日益严峻的网络安全挑战。
          |
          6月前
          |
          SQL 云安全 安全
          怎么做好代码审计
          代码审计,顾名思义,是一种对软件源代码进行系统性的检查和分析过程,旨在发现源代码中的安全缺陷、性能问题以及其他可能存在的缺陷。这是一种重要的软件质量保障手段,尤其在安全领域中占据着举足轻重的地位。
          |
          6月前
          【攻防世界】warmup (代码审计)
          【攻防世界】warmup (代码审计)
          【攻防世界】warmup (代码审计)
          |
          6月前
          |
          安全 PHP
          零基础学习挖掘PHP网站漏洞
          本套课程,分为三个阶段:第一阶段:基础篇 学习PHP开发的基础知识,对PHP常见的漏洞进行分析,第二阶段:进阶篇 实战PHP漏洞靶场,了解市面上的PHP主流网站开发技术,并对市面上的主流框架进行漏洞分析,第三阶段:高级篇 实战演示PHP代码审计技术,并能手动开发PHP框架,了解大型网站的核心技术!
          58 2
          |
          云安全 安全 Cloud Native
          如何做好云渗透测试的威胁建模(上)
          微软针对威胁建模(Threat modeling)的描述:威胁建模是帮助保护系统、应用程序、网络和服务的有效方法。这是一种工程技术,用于识别潜在的威胁和建议,以帮助降低风险并在开发生命周期的早期实现安全目标。威胁建模实践使开发团队可以在计划的运行环境的背景下,以结构化的方式思考、记录并讨论系统设计的安全影响。 [1](文末附注释解析)
          |
          SQL 监控 安全
          发卡系统代码审计
          发卡系统代码审计
          YzmCMS代码审计
          YzmCMS代码审计
          216 0
          |
          SQL 安全 数据挖掘
          wirehark数据分析与取证hack.pcapng
          wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
          328 0
          |
          存储 安全 前端开发
          代码审计系统 Swallow 开发回顾
          做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去
          141 0
          |
          运维 安全 测试技术
          网站漏洞分析攻防过程
          漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法。通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏洞的攻击路径。基于制定的攻击方案,利用漏洞和攻击进行实际作战演习,尝试各种技术手段访问或操作系统、数据库和中间文件,绕过系统安全保护,全面渗透目标系统。通过渗透等方式获得相关关系。
          218 3
          网站漏洞分析攻防过程