洞态IAST检测工具使用指南

网安引领时代，弥天点亮未来   

 

0x00故事是这样的

1.我司众安内部系统在开发项目交付之前，会向我和同事申请渗透测试。

2.两个人测试效率太低，覆盖并不是很全，虽然研发部门也有测试人员，但是因为本身就不是做渗透的，不知道怎么进行安全测试，如何让不懂渗透的人也加入安全测试呢。

3.所以就体验了一下https://dongtai.io/,开源的交互式安全测试工具。(说是体验,其实是等我先学会了再教你们怎么用)。

4.Sever端使用SaaS体验，点击注册按钮。

5.填写注册信息。

6.之后会收到一封创建帐号成功的邮件。

7.然后登录控制台下载agent。

8.下载之后是一个jar文件。

9.然后查一下tomcat的pid,我的机器上的pid是755661

10.因为我选择了自动安装,所以命令是java -jar dongtai-agent.jar -m install -p 755661,这样就安装成功了。

11.测试靶场用的是fastjson 1.2.60 RCE 漏洞。

12.随便刷新一下页面。

13.随便访问一下。

14.然后就产生的告警了。

15.也能发现组件存在的漏洞。

16.虽然研发部门的测试人员不懂安全测试,但是他们这样可以在测试功能中也能一起挖洞,可能比我和同事测的更全面。

17.欢迎大家关注弥天安全实验室公众号。

 

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

   弥  天

安全实验室

个

原文始发于微信公众号（弥天安全实验室）：洞态IAST检测工具使用指南