PassiveIAST被认为是DevSecOps测试阶段自动化安全测试的最佳工具,而就在几天前,东泰IAST正式开源,这对于甲方搭建一个非常重要的安全工具链,绝对是一大优势。我是5月份申请的东台IAST企业版内测,算是比较早的一批用户了。下面说说API接口覆盖、第三方开源组件检测、脏数据等我比较关心的几个问题。这些都是安全测试过程中的痛点,所以在这个工具的应用中,我们会找到答案。下面,我们来做一个简单的安装部署,进入靶场进行测试体验。1.快速安装部署本地化部署可以使用docker-compose部署,拉取代码,一键部署。gitclonehttps://github.com/HXSecurity/DongTai.gitcdDongTaichmodu+xbuild_with_docker_compose.sh./build_with_docker_compose.sh首次使用默认账号admin/admin登录,配置OpenAPI服务地址,完成基础环境安装和配置。2、初步体验以Webgoat为靶场,新建项目,加载agent,正常访问web应用,触发api检测漏洞。java-javaagent:./agent.jar-jarwebgoat-server-8.1.0.jar--server.port=9999--server.address=0.0.0.0检测到的漏洞:这里推荐几个使用java开发的漏洞靶场:Webgoat:https://github.com/WebGoat/WebGoatwavsep:https://github.com/sectooladdict/wavsepbodgeit:https://github.com/psiinon/bodgeitSecExample:https://github.com/tangxiaofeng7/SecExample最后,通过将IAST工具接入DevOps进程,完成CI/CD流水线中Agent的安装,实现自动化安全测试,开启漏洞收获模式。这应该是一个有趣的尝试。
