聊一聊關(guān)于IAST 工具初探
本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」,作者Bypass ����。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)���。
近年來(lái),IAST作為一種新的應(yīng)用安全測(cè)試技術(shù)���,受到廣泛的關(guān)注�,慢慢出現(xiàn)了一些IAST開(kāi)源項(xiàng)目����,可以讓更多的個(gè)人或者企業(yè)參與和體驗(yàn)。
本文就目前網(wǎng)絡(luò)中找到的幾款I(lǐng)AST工具進(jìn)行部署測(cè)試�����,記錄一些使用過(guò)程和體驗(yàn)�����。
1�、openrasp-iast
openrasp-iast 是一款灰盒掃描工具��,目前開(kāi)源的IAST掃描器��,通過(guò)安裝Agent和掃描器��,能夠結(jié)合應(yīng)用內(nèi)部hook點(diǎn)信息��,針對(duì)獲取到的url請(qǐng)求參數(shù)進(jìn)行fuzz���,從而檢測(cè)到安全漏洞。
支持的編程語(yǔ)言:Java�����、PHP��。
官方文檔:
- https://rasp.baidu.com/doc/install/iast.html
2����、火線~洞態(tài)IAST
洞臺(tái)IAST提供SAAS平臺(tái),個(gè)人用戶通過(guò)填寫(xiě)問(wèn)卷注冊(cè)登錄���,下載Agent進(jìn)行應(yīng)用程序部署�,正常訪問(wèn)應(yīng)用,就可以觸發(fā)漏洞檢測(cè)�。漏洞結(jié)果提供比較詳細(xì)的HTTP數(shù)據(jù)包和污點(diǎn)流圖,可用于快速驗(yàn)證和復(fù)現(xiàn)漏洞����。
支持的編程語(yǔ)言:Java、C#����、Net Core。
官方主頁(yè):
- https://hxsecurity.github.io/DongTaiDoc/#/
3�����、Semmle QL
以一種獨(dú)特的方法尋找代碼中的漏洞���,將代碼當(dāng)成數(shù)據(jù),將分析問(wèn)題變成對(duì)數(shù)據(jù)庫(kù)的請(qǐng)求����。
支持的編程語(yǔ)言:Java,Python��,JavaScript��,TypeScript,C#�,Go,C/C ++�。
免費(fèi)檢測(cè)平臺(tái):
- https://lgtm.com
文章名稱:聊一聊關(guān)于IAST 工具初探
當(dāng)前URL:
http://uogjgqi.cn/article/dppdoph.html
掃二維碼與項(xiàng)目經(jīng)理溝通
我們?cè)谖⑿派?4小時(shí)期待你的聲音
解答本文疑問(wèn)/技術(shù)咨詢/運(yùn)營(yíng)咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
