除了像前面介绍的 fortify,tabby,这些工具以外,还有一些插件工具,也是可以拿来做审计辅助。大部分插件工具都是放在 idea 上,当然也有一些插件是 vs 上,这里先介绍 idea 审计插件...
源码分析|SpringKill的原创ysoserial源码详解
此文章由SpringKiller安全研究师傅产出,这位佬是一个能独立开发一款企业级IAST,伸手0day伸脚1day,能手搓操作系统用脚逆向的师傅,还是OWASP的代码贡献者之一。哦,差点忘了,这个师...
AWS Lambda Node.js 反弹shell
Nov 19, 20190x00 前言原本在测AWS Lambda,后来变成研究Node.js反弹shell了,hhh。 0x01 被攻击端直接套到lambda函数里就行了12345678910111...
一个信息安全从业人员的自我修养:我的安全技术栈
0x00 前言曾经很长一段时间一直被一件事情困扰着,就是学过的新技术被闲置一段时间之后,当再捡起来时有种无从下手的感觉。很多技术点都被遗忘了,虽然自己一直有整理笔记的习惯,但奈何越来越多琐碎的一坨坨知...
漏洞扫描工具 DongTai
工具介绍:DongTai是一款交互式应用安全测试(IAST)产品,支持检测OWASP WEB TOP 10漏洞、多请求相关漏洞(包括逻辑漏洞、未授权访问漏洞等)、第三方组件漏洞等。目前,Java和Py...
剖析Dongtai IAST的实现
1. 开言 2. IAST前期工作 2.1. 插桩策略 2.2. 插桩(查找定位) 2.3.插桩(执行修改) 3. IAST功能实现 3.1. 梳理数据类型 3.2.事件分发 3.3.聚合说明功能机制...
【Tools】漏洞扫描工具 DongTai
工具介绍:DongTai是一款交互式应用安全测试(IAST)产品,支持检测OWASP WEB TOP 10漏洞、多请求相关漏洞(包括逻辑漏洞、未授权访问漏洞等)、第三方组件漏洞等。目前,Java和Py...
简单说说SAST、DAST、IAST 和 RASP
在开篇之前,先假设所有读者对软件工程、网络安全的基础知识有基本的了解,第一个章节通过概述简单描述相关内容,让大家简单明白AST、SAST、DAST、IAST 和 RASP,...
开源组件漏洞可利用性分析的落地实践与经验之谈 | 总第208周
0x1 本周话题话题:开源组件漏洞的可达性或实际可利用性分析识别,大家有什么落地实践或经验吗?即使是商业版sca很多也只是照搬公开漏洞库做简单的版本匹配。A1:今年rsa沙盒有一家的产品说是可以跟...
IAST百科全书第16期:IAST与RASP的区别
IAST百科全书第16期 IAST与RASP的区别 /火/线/安/全/ 0x001 Hello 大家好,欢迎来到新一期IAST百科全书,之前有同学提问IAST和RASP是不是非常类似,今天就专门给大家...
开源与商业版洞态的区别,就像Chat GPT与GPT-4?
9月1日2021年“洞态IAST”开源2021年9月1日,火线安全正式将DevSecOps应用安全产品“洞态IAST”开源,这也是全球专业IAST领域的首个开源项目。5月18日2022年洞态IAST商...
利用IAST实现应用安全测试自动化的必要性及价值
AST 安全测试原理及场景介绍:为什么要进行应用安全测试?洞态IAST原理及优势比较利用洞态IAST交互式应用安全测试自动化的价值洞态IAST应用安全检测在企业内落地实施建议一 常见应用安...