代码审计之洞态IAST 0day挖掘

admin 2023年3月7日08:48:47评论125 views字数 1535阅读5分7秒阅读模式

发这篇文章很久了,在hw之前就想写一篇介绍下这个平台,一直拖到现在,今天终于抽时间来写了。(翻车了)


1. 介绍

交互式应用安全测试(Interactive application security testing IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看,插桩(Instrumented)式应用安全测试或许是一个更好的说法。IAST不是一个扫描器,重要的事说两遍,它不是一个扫描器,IAST持续地从内部监控你应用中的漏洞,在整个开发生命周期中,IAST通过你在开发和测试中使用的工具,实时地提供报警。

IAST最显著的特性是它使用插桩来收集安全信息,直接从运行中的代码发现问题,不是源代码扫描(SAST),也不是HTTP 扫描(DAST)。但那并不意味着你要等到产品上线时才使用它,恰恰相反,你可在IDE中,当开始编写和测试第一行代码时,就使用IAST。

自有代码安全测试:IAST能够自动化地分析应用和API 中的自有代码,找出以前没有发现的(零 day)漏洞,能够识别很宽范围的漏洞,包括并不限于OWASP Top 10,还有其他更复杂的漏洞。

开源软件安全测试:IAST也能用来测试开源库和框架的安全性,一般有两个维度。首先,IAST能识别困扰开源软件的已知漏洞(如CVE发布),其次,IAST能识别开源软件中以前未知的(潜在)漏洞。



除了洞态,还有百度开发的openrasp,docker拉取镜像,在安装pip依赖的时候报错,手动部署后,安装agent稍微有点麻烦,支持的框架也少,不能配合IDA进行检测(pass)


github地址:

https://github.com/HXSecurity/DongTai


环境

云主机dockerdocker-composeIDEA

下载源码

wget https://github.com/HXSecurity/DongTai/archive/refs/tags/v1.4.1.tar.gz

下载docker

// centosyum install docker -y
// ubuntu debianapt install docker -y

下载docker-compose

wget https://github.com/docker/compose/releases/download/v2.6.1/docker-compose-linux-x86_64


给docker-compose添加执行权限,然后改名放到/bin/目录下 /usr/bin也可以

代码审计之洞态IAST     0day挖掘

代码审计之洞态IAST     0day挖掘


解压源码


运行build文件 自动下载  等待十多分钟就可以了

代码审计之洞态IAST     0day挖掘

./build_with_docker_compose.sh

选择开放端口,默认80

默认口令是 admin/admin

代码审计之洞态IAST     0day挖掘


代码审计之洞态IAST     0day挖掘


初始化后,就可以配置agent了。

代码审计之洞态IAST     0day挖掘

直接点击jar下载

代码审计之洞态IAST     0day挖掘

因为我的项目是IDEA搭建的 所以我直接在IDEA中参数配置添加agent。

-javaagent:/xx/dongtai-agent.jar

代码审计之洞态IAST     0day挖掘


启动IDEA后,日志输出记录,web端也会收到流量和信息。

代码审计之洞态IAST     0day挖掘

代码审计之洞态IAST     0day挖掘


然后进入项目,访问页面,让平台增加流量,对数据包进行监测

代码审计之洞态IAST     0day挖掘


进到项目中,会检测项目中存在的漏洞,和组件漏洞

代码审计之洞态IAST     0day挖掘

代码审计之洞态IAST     0day挖掘


随便找一个,看看数据包

代码审计之洞态IAST     0day挖掘


代码审计之洞态IAST     0day挖掘

 

测流量半个多小时了,啥都没监测出来,一堆xss呢,sql注入呢,我真的是服了这个老六,难不成我版本低就不行?

这个地方存在sql,它愣是没检测到,我输入payload 也没有

代码审计之洞态IAST     0day挖掘


看了下规则,sql注入的 基于java.sql.*传参比较多,而项目中使用了mybatis,就不会有java.sql.*的方式执行sql,所以就没检测到

代码审计之洞态IAST     0day挖掘


手工挖掘,然后sqlmap执行

代码审计之洞态IAST     0day挖掘


手工,睡觉。










原文始发于微信公众号(轩公子谈技术):代码审计之洞态IAST 0day挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月7日08:48:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代码审计之洞态IAST 0day挖掘http://cn-sec.com/archives/1248230.html

发表评论

匿名网友 填写信息