SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。

admin 2025年1月17日11:55:09评论11 views字数 732阅读2分26秒阅读模式

 

工具介绍

SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。

simpleIAST是一种交互式应用程序安全测试工具。

开始部署

1. clone项目

git clone https://github.com/keven1z/simpleIAST.git

2. docker运行

cd ./simpleIAST/docker/
docker-compose up -d

3. 访问

访问地址: http://[your_ip]:8443/ 默认用户名: admin 默认密码: 123456

前端端口:  8443

后端端口: 81

数据库端口: 33060

redis端口: 63790

Agent启动

iast-agent.jar和iast-engine.jar 放在同一目录

跟随应用启动运行

java -javaagent:iast-agent.jar -jar [app.jar] # 

应用启动完成attach方式运行

# attach方式安装agent
java -jar iast-engine.jar -m install -p [pid] 
# attach方式卸载agent
java -jar iast-engine.jar -m uninstall -p [pid] 

兼容

支持中间件

  • Tomcat
  • Springboot
  • Jetty
  • Weblogic
  • glassfish
  • WildFly
  • TongWeb
  • Resin
  • Undertow

支持JDK

  • jdk 1.8
  • jdk 11

支持漏洞

  • SQL注入
  • 反序列化漏洞
  • SSRF
  • URL跳转漏洞
  • XXE
  • 命令注入
  • 文件上传
  • XSS
  • Spring EL表达式注入
  • 数据库弱口令
  • XPATH注入
  • 硬编码漏洞

工具获取

https://github.com/keven1z/simpleIAST

原文始发于微信公众号(夜组安全):SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月17日11:55:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。https://cn-sec.com/archives/3637631.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息