工具介绍
simpleIAST是一种交互式应用程序安全测试工具。
开始部署
1. clone项目
git clone https://github.com/keven1z/simpleIAST.git
2. docker运行
cd ./simpleIAST/docker/
docker-compose up -d
3. 访问
访问地址: http://[your_ip]:8443/ 默认用户名: admin 默认密码: 123456
前端端口: 8443
后端端口: 81
数据库端口: 33060
redis端口: 63790
Agent启动
跟随应用启动运行
java -javaagent:iast-agent.jar -jar [app.jar] #
应用启动完成attach方式运行
# attach方式安装agent
java -jar iast-engine.jar -m install -p [pid]
# attach方式卸载agent
java -jar iast-engine.jar -m uninstall -p [pid]
兼容
支持中间件
-
Tomcat -
Springboot -
Jetty -
Weblogic -
glassfish -
WildFly -
TongWeb -
Resin -
Undertow
支持JDK
-
jdk 1.8 -
jdk 11
支持漏洞
-
SQL注入 -
反序列化漏洞 -
SSRF -
URL跳转漏洞 -
XXE -
命令注入 -
文件上传 -
XSS -
Spring EL表达式注入 -
数据库弱口令 -
XPATH注入 -
硬编码漏洞
工具获取
原文始发于微信公众号(夜组安全):SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论