代码审计之JAVA代码审计洞态IAST系统以及SecExample靶场
目录
2 JAVA系列代码审计
2.1 工具介绍
2.2 SecExample靶场安装
2.3 洞态IAST安装
2.3 洞态IAST使用
2 JAVA系列代码审计
之前我们都是采用代码审计工具对PHP代码进行审计,但是在实际的工作中对于从事代码审计的人员来说JAVA的代码审计也是必不可少的,那么接下来我会详细介绍一下JAVA代码审计的流程,供大家参考学习。
2.1 工具介绍
在接下来的操作中,我主要是利用洞态IAST以及Secexample靶场来完成对JAVA代码的审计过程。
所以我们需要前期准备安装好洞态IAST,利用Ubuntu虚拟机安装靶场。
洞态 IAST 是一个完全开源的 IAST 项目,它使用应用程序运行时数据流进行分析从而识别可被利用的安全漏洞,再按风险优先级的提供已验证漏洞列表功能,协助开发人员实时的代码修复。
主要功能:全面精准的应用漏洞测试、开源组件漏洞和风险分析、应用漏洞自动化验证与溯源、全面详细的漏洞分析和定位、检测能力自定义
支持的检测语言:Java、Python、PHP、Go
支持的部署方式:Docker、Kubernetes / SaaS 服务
参考内容:概览 | 洞态文档
2.2 SecExample靶场安装
SecExample是一个JAVA漏洞靶场,至于什么是JAVA漏洞靶场,学习网络安全的小伙伴应该不陌生吧,在这里我就不再介绍,直接安装吧(强调一下,接下来我主要是在虚拟机环境进行安装,如果本机有git的话,可以直接在本机安装靶场,语句都差不多)
图2.1
如图2.1所示,首先进入管理员模式下,然后输入:
(git clone https://github.com/tangxiaofeng7/SecExample.git)
//在此说明一下,这是一个啥也没安过得Ubuntu虚拟机,所以接下来我的操作可能会麻烦一点,如果你的虚拟机本身安装了一些东西,那么就可以跳过一些繁琐的步骤。
图2.2
对于一个空白机而言直接输入前面的语句肯定是有问题的,如图2.2所示,哎,不要慌。一般linux系统都会给你提示,接下来该怎么办,你就照着他的提示进行就好了。
输入apt install git,等待安装,不出意外的话肯定是又出意外了。
图2.3
跟上一步一样,根据提示继续安装一些没有的东西。如图2.3,输入apt-get update.
图2.4
上一步安装完成之后,可以再尝试一下之前的语句,完成靶场的安装如图2.4所示。
图2.5
靶场安装完成后,进入靶场如图2.5所示,语句cd SecExample。
图2.6
输入语句docker-compose up -d,根据图2.6继续操作。
图2.7
如图2.7所示靶场工作全部完成。
接下来准备安装洞态IAST系统。
2.3 洞态IAST安装
图2.8
输入语句apt-get update,如上图2.8所示。
图2.9
继续输入语句sudo apt-get install curl,如图2.9所示。
图2.10
输入语句curl -sSL https://get.daocloud.io/docker | sh,如图2.10,提示已经安装过了,那就不用管它,没有的话就继续等待完成安装即可。
图2.11
继续输入命令sudo apt-get install docker-compose,如图2.11
图2.12
输入命令$ git clone https://github.com/HXSecurity/DongTai.git如图2.12
图2.13
继续输入命令
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ sudo ./build_with_docker_compose.sh
如图2.13等待安装完成即可(这里没有一步一步截图)
这一步安装完成以后,他会提示你输入一个端口号,这个端口号就是洞态IAST系统打开的端口号,根据自己的情况进行设置,为了避免冲突我设置的是92号端口。
图2.14
如上图2.14所示,浏览器中输入127.0.0.1:92(上一步设置的端口号)访问系统。
图2.15
为了使用方便我们也可以在主机访问洞态IAST系统,那么就需要知道Ubuntu的IP地址,如图2.15所示。
图2.16
如图2.16所示,就在主机成功打开了洞态IAST系统。
2.3 洞态IAST使用
图2.17
如图2.17所示接下来使用洞态IAST系统
图2.18
点击新建项目,根据图2.18进行选择。
图2.19
如上图2.19所示,点击添加代理。
图2.20
因为我们接下来是为了测试JAVA代码,所以在这里我们选择JAVA语言的代理进行下载。
图2.21
如图2.21所示,下载的代理要放在靶场文件下面,这一步要注意,如果之前使用本机git下载的那直接在本机找,如果根据我上面的Ubuntu下载的那就把虚拟机当中的文件复制过来也是一样的。要把JAVA代理放在target文件夹中。
图2.22
如图2.22所示,在命令行中输入java -javaagent:./agent.jar -Dproject.name=test -jar secexample-1.0.jar,注意要先进入target目录下面,再输入这个命令,才能打开。
图2.23
如上图2.23所示我们可以看到在洞态IAST中显示agent数目多了一条。证明代理已成功执行。
图2.24
如图2.24所示,我们在本机访问127.0.0.1:8080/home
图2.25
我们选择一个想要验证的漏洞,然后输入验证语句,之后返回洞态IAST如图2.25所示。
图2.26
如图2.26我们也可以看到项目漏洞情况等信息。也可以再试试其他漏洞。
图2.27
如图2.27所示,可以导出漏洞报告。
图2.28
如图2.28报告导出成功。
以上所有操作全部完成。
代码审计之JAVA代码审计洞态IAST系统以及SecExample靶场相关推荐
- 洞态IAST Python-agent 内测版 测试
一.背景 洞态 IAST 首发 Python-agent 尝鲜,验证 Agent 针对路径穿越漏洞的检测能力. 洞态 IAST 的检测方式是扫描运行中的应用程序,将扫描到的漏洞信息发送到云端进行检测处 ...
- 洞态IAST自动检测S2-001漏洞
一.使用Dongtai-IAST检测S2-001漏洞 1. 启动在线靶场 登陆在线靶场:http://labs.iast.huoxian.cn:8081,启动`S2-001`环境,等待环境启动之后,点 ...
- 洞态 IAST v1.1.4 新版本来袭,DevSecOps 更进一步
导语 洞态 IAST 自开源发布以来,一直保持着双周更新一版的节奏不断迭代.项目开启之初,社区小伙伴们参与的积极性很高,为洞态提出了许多建设性意见,也贡献了很多代码,很感谢洞态伙伴们的付出. Dong ...
- 洞态IAST在某互联网甲方的落地实践
IAST作为开展SDL中黑白盒测试的有效补充,还是很有必要去了解使用的.笔者为了完善公司的SDL流程,调研了开源的IAST产品进行测试和内部推广 刚开始,笔者测试百度OpenRASP的IAST功能(主 ...
- 洞态IAST自动检测S2-007漏洞
1. 启动在线靶场 登陆 在线靶场,启动S2-007环境,等待环境启动之后,点击访问靶场按钮即可前往靶场环境.该环境来源于vulhub和vulapps 2. 查看检测结果 登陆洞态IAST官方网站,查 ...
- 精选用户故事|洞态在聚水潭的误报率几乎为0,如何做到?
亮点锦集: 我个人在实际使用过程中体验到,对于像命令执行和sql注入这类漏洞,洞态能够做到百分百的检测. --Spenser 除了之前关于敏感信息检测这一块有误报,其它基本没有.不过这块儿经过优化之后 ...
- 洞态漏洞检出测试第二期:NoSQL LDAP注入漏洞
测试环境 DongTai-Python-agent 版本号:v1.2.0 支持 Python 框架:Flask Python 3.8 NoSQL 注入漏洞 以 JavaScript 注入为例 Jav ...
- web渗透--69--洞态IAST部署及使用
前不久[洞态IAST]正式开源,喜大普奔,此前使用百度开源的OpenRASP-IAST,效果其实很差,可能是平台的问题,也可能是开发写的程序本来就安全,最终一个漏洞都没产出,只能靠二次开发的一些辅助功 ...
- java代码审计_Java代码审计入门篇
本期斗哥带来Java代码审计的一些环境和工具准备. Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计J ...
- java代码审计----win10安装docker
开始看<java代码审计> 第一先安装jdk 多版本jdk共存 安装docker win10安装docker docker官网下载desktop 安装后,docker启动不起来,小鲸鱼图标 ...
最新文章
- ipone 网页版的iphone
- javascript promise编程
- 某百度程序员中午面试一个阿里程序员,晚上去阿里面试,面试官竟是中午那个人!
- 网络营销外包专员浅析网络营销外包站内关键词优化技巧(不外传)
- webpack安装和配置
- distinct的用法
- 云上的可观察性数据中台,如何构建?
- 优化案例(part5)--sparse subspace clustering via Low-Rank structure propagation
- Tomcat启动时自动加载Servlet
- Python中yield的作用??
- 遗传算法MATLAB工具箱的下载与安装
- iOS开发之模拟器(simulator)的复制粘贴
- paip.连接access2003数据库python3.3以及php5对比
- Go黑魔法之导出私有函数与私有变量
- 台达DVP50MC11T与威纶触摸屏ModbusTCP通信
- Carplay测试-Carplay认证预测试服务-Siri AudioTest-ITU-T P.1110 测试-ITU-T P.1100车载免提音测试
- 反射之前奏Oracle升级版
- 【论文笔记_对比学习_2021】CONTRASTIVE LEARNING WITH HARD NEGATIVE SAMPLES
- 链接的接口——符号(一)链接错误:symbol lookup error: xxx, undefined symbol: xxx
- Unity3D--加载界面、开始界面