java学习DongTai被动型IAST工具部署过程

目录
  • 01、环境准备
  • 02、快速安装与部署
  • 03、初步测试体验

我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了。聊聊几个我比较在意的问题,比如API接口覆盖率、第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案。

在这里,让我们做一个简单的安装部署,接入靶场进行测试体验。

01、环境准备

Docker安装

1、安装所需的软件包
 sudo yum install -y yum-utils \
  device-mapper-persistent-data \
  lvm2

2、设置仓库 
sudo yum-config-manager \
    --add-repo \
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3、安装最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io

docker-compose安装

wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64  /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

02、快速安装与部署

洞态IAST支持多种部署方式,本地化部署可使用docker-compose部署。

$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh

首次使用默认账号admin/admin登录,配置dongtai-openapi,即可完成基本的环境部署和配置。

首次使用默认账号admin/admin登录,配置OpenAPO服务地址,即可完成基本的环境安装和配置。

03、初步测试体验

以Webgoat作为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。

部署Agent:

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

检测到的漏洞情况:

这里,推荐几个使用java开发的漏洞靶场:

Webgoat:https://github.com/WebGoat/WebGoat
wavsep:https://github.com/sectooladdict/wavsep
bodgeit:https://github.com/psiinon/bodgeit
SecExample:https://github.com/tangxiaofeng7/SecExample

最后,通过将IAST工具接入DevOps流程,在CI/CD pipeline中完成Agent的安装,就可以实现自动化安全测试,开启漏洞收割模式,这应该会是很有意思的尝试。

备注:删除所有容器 docker rm -f `docker ps -a -q`     删除所有镜像 docker rmi `docker images -q`

以上就是java学习DongTai被动型IAST工具部署过程的详细内容,更多关于DongTai被动型IAST工具部署的资料请关注我们其它相关文章!

(0)

相关推荐

  • java学习笔记之DBUtils工具包详解

    DBUtils工具包 一.介绍 DBUtils是Apache组织开源的数据库工具类. 二.使用步骤 ①.创建QueryRunner对象 ②.调用update()方法或者query()方法执行sql语句 三.构造方法及静态方法 QueryRunner类 1.构造方法 ①.无参构造 QueryRunner qr =new QueryRunner(); 使用无参构造的时候,调用update方法和query方法时就需要使用带Connection 类型参数的重载形式 ②.有参构造 QueryRunner

  • 深入学习Java 热部署的知识

    深入学习Java 热部署的知识

    简介 在 Java 开发领域,热部署一直是一个难以解决的问题,目前的 Java 虚拟机只能实现方法体的修改热部署,对于整个类的结构修改,仍然需要重启虚拟机,对类重新加载才能完成更新操作.对于某些大型的应用来说,每次的重启都需要花费大量的时间成本.虽然 osgi 架构的出现,让模块重启成为可能,但是如果模块之间有调用关系的话,这样的操作依然会让应用出现短暂的功能性休克.本文将探索如何在不破坏 Java 虚拟机现有行为的前提下,实现某个单一类的热部署,让系统无需重启就完成某个类的更新. 类加载的探索

  • springBoot 插件工具热部署 Devtools的步骤详解

    springBoot 插件工具热部署 Devtools的步骤详解

    第一步添加jar包: <!-- 这个依赖是热部署的(devtools)--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>runtime</scope> <optional>true</optional> <

  • Java使用自动化部署工具Gradle中的任务设定教程

    Java使用自动化部署工具Gradle中的任务设定教程

    tasks 下面的代码展示了三个Gradle task,稍后会讲解这三者的不同. task myTask { println "Hello, World!" } task myTask { doLast { println "Hello, World!" } } task myTask << { println "Hello, World!" } 我的目的是创建一个task,当它执行的时候会打印出来"Hello, World

  • java学习DongTai被动型IAST工具部署过程

    java学习DongTai被动型IAST工具部署过程

    目录 01.环境准备 02.快速安装与部署 03.初步测试体验 我在5月份的时候就申请了洞态IAST企业版内测,算是比较早的一批用户了.聊聊几个我比较在意的问题,比如API接口覆盖率.第三方开源组件检测以及脏数据等问题,而这些都是安全测试过程中的痛点,那么在这款工具的应用上,我们将找到答案. 在这里,让我们做一个简单的安装部署,接入靶场进行测试体验. 01.环境准备 Docker安装 1.安装所需的软件包  sudo yum install -y yum-utils \   device-map

  • java property配置文件管理工具框架过程详解

    这篇文章主要介绍了java property配置文件管理工具框架过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 property property 是 java 实现的 property 框架. 特点 优雅地进行属性文件的读取和更新 写入属性文件后属性不乱序 灵活定义编码信息 使用 OO 的方式操作 property 文件 支持多级对象引用 快速开始 环境依赖 Maven 3.x Jdk 1.7+ Maven 引入依赖 <depende

  • java根据富文本生成pdf文件过程解析

    java根据富文本生成pdf文件过程解析

    这篇文章主要介绍了java根据富文本生成pdf文件过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 public class PdfUtil { /* * 生成pdf工具类 * wmy 12:40 2019/8/9 * @Param [guideBook, pdfPath] * @return java.lang.Boolean **/ public static Boolean htmlToPdf(GuideBook guideBook

  • java金额数字转中文工具类详解

    本文实例为大家分享了java金额数字转中文工具类的具体代码,供大家参考,具体内容如下 java金额数字转中文工具类ConvertNum.java package light.mvc.utils; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; /** * 金额数字转中文工具类 * * @author ardo * */ public class Convert

  • 2019年最新Java学习路线图

    2019年最新Java学习路线图

    小编深知广大爱好Java的人学习是多么困难,因此专门整理了新版的学习路线图,不管你是不懂电脑的小白,还是已经步入开发的大牛,这套路线路绝对不容错过! 2019年最新Java学习路线图, 路线图的宗旨就是分享,专业,便利,让喜爱Java的人,都能平等的学习.从今天起不要再找借口,不要再说想学Java却没有资源,赶快行动起来,Java等你来探索,高薪距你只差一步! java学习基础 针对Java零基础入门学习者,比较详细的知识点总结和学习路线 数据库 数据库是程序员必须要掌握中知识点,详细的学习思路

  • Spring Boot运行部署过程图解

    这篇文章主要介绍了Spring Boot运行部署过程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 Main方法 直接运行启动类main方法 遵循应用程序入口点的Java约定的标准方法.我们的main方法SpringApplication通过调用委托给Spring Boot的类run. SpringApplication引导我们的应用程序,启动Spring,然后启动自动配置的Tomcat Web服务器.我们需要Example.class作为

  • java使用elasticsearch分组进行聚合查询过程解析

    java使用elasticsearch分组进行聚合查询过程解析

    这篇文章主要介绍了java使用elasticsearch分组进行聚合查询过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 java连接elasticsearch 进行聚合查询进行相应操作 一:对单个字段进行分组求和 1.表结构图片: 根据任务id分组,分别统计出每个任务id下有多少个文字标题 1.SQL:select id, count(*) as sum from task group by taskid; java ES连接工具类 p

  • Java学习笔记之Maven篇

    Java学习笔记之Maven篇

    一.maven能做什么? [本质]:将原材料(各种Java本身的类,不包括jar包)生产成为可运行的工程项目. Maven - 自动化构建工具,英文单词是专家内行的意思 1.方便管理jar包,jar包冲突? 2.打包web项目(节省jar包空间) 1.1 两大应用 [依赖管理]maven的jar包放在jar包仓库,maven只存储jar包的坐标.(代码重用思想) [一键构建]编译.测试.运行.打包.安装.部署 操作一体化 [POM:Project Object Model 工程对象模型 [pom

  • Java学习笔记:关于Java double类型相加问题

    Java学习笔记:关于Java double类型相加问题

    目录 Java double类型相加问题 一.这个时候就要采用BigDecimal函数进行运算 二.double 三种加法比较 Java Double类详解 Double 类的构造方法 Double 类的常用方法 Double 类的常用常量 Java double类型相加问题 多个double类型的数直接相加的时候,可能存在精度误差.( 由于计算机算法以及硬件环境决定只能识别 0 1.计算机默认的计算结果在都在一个指定精度范围之内,想往深的了解,可以学习数值分析等) 在金融方面是绝对不允许的,好

  • 利用java生成二维码工具类示例代码

    利用java生成二维码工具类示例代码

    二维码介绍 二维条形码最早发明于日本,它是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的,在代码编制上巧妙地利用构成计算机内部逻辑基础的"0"."1"比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理. 如下为java生成二维码工具类,可以选择生成文件,或者直接在页面生成,话不多说了,来一起看看详细的示例代码吧. 示例代码 import java.aw

随机推荐