被動型IAST被認為是DevSecOps測試階段實現自動化安全測試的最佳工具,而就在前幾天,洞態IAST正式開源了,這對於甲方構建安全工具鏈來說,絕對是一個大利好。
我在5月份的時候就申請了洞態IAST企業版內測,算是比較早的一批用戶了。聊聊幾個我比較在意的問題,比如API接口覆蓋率、第三方開源組件檢測以及臟數據等問題,而這些都是安全測試過程中的痛點,那么在這款工具的應用上,我們將找到答案。
在這里,讓我們做一個簡單的安裝部署,接入靶場進行測試體驗。
01、環境准備
Docker安裝
1、安裝所需的軟件包 sudo yum install -y yum-utils \ device-mapper-persistent-data \ lvm2 2、設置倉庫 sudo yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
3、安裝最新版本的 Docker Engine-Community 和 containerd sudo yum install docker-ce docker-ce-cli containerd.io
docker-compose安裝
wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64 /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
02、快速安裝與部署
洞態IAST支持多種部署方式,本地化部署可使用docker-compose部署。
$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai $ chmod u+x build_with_docker_compose.sh $ ./build_with_docker_compose.sh
首次使用默認賬號admin/admin登錄,配置dongtai-openapi,即可完成基本的環境部署和配置。
首次使用默認賬號admin/admin登錄,配置OpenAPO服務地址,即可完成基本的環境安裝和配置。
03、初步測試體驗
以Webgoat作為靶場,新建項目,加載agent,正常訪問web應用,觸發api檢測漏洞。
部署Agent:
java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0
檢測到的漏洞情況:
這里,推薦幾個使用java開發的漏洞靶場:
Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample
最后,通過將IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安裝,就可以實現自動化安全測試,開啟漏洞收割模式,這應該會是很有意思的嘗試。
備注:刪除所有容器 docker rm -f `docker ps -a -q` 刪除所有鏡像 docker rmi `docker images -q`