探索网络安全新技术
攀登黑客技术最高峰

洞态(DongTai)一款开源的被动交互式安全测试(IAST)软件

洞态(DongTai)一款开源的被动交互式安全测试(IAST)软件-威武网安

软件介绍

DongTai是一款开源的被动式交互式安全测试(IAST)产品,通过动态hook和污点跟踪算法等实现通用漏洞检测、多请求关联漏洞检测(包括但不限于越权漏洞、未授权访问)、第三方组件漏洞检测等,目前支持Java、Python两种语言的应用漏洞检测。

官方网站:dongtai.io

官方文档:docs.dongtai.io

项目结构

[admonition]├── deploy
├── dongtai_common 各个服务调用的常用函数和类
├── dongtai_conf 配置文件
├── dongtai_engine 漏洞检测与漏洞处理部分
├── dongtai_protocol dongtai-server和agent交互的协议
├── dongtai_web 与web交互的api
├── static 静态文件
└── test 测试用例[/admonition]

软件优势

支持的检测语言:Java、Python、PHP、Go
多环境部署方案:Docker、Kubernetes
SaaS 体验服务
2 周稳定发版率
全面精确的应用漏洞测试
开源组件漏洞和风险分析
应用漏洞自动化验证和溯源
全面详细的漏洞分析和定位
检测能力自定义:敏感信息,硬编码
便捷的 DevSecOps 流程接入
稳定成长的社区生态
强大的在线靶场

技术架构

“火线-洞态IAST”具有多个基础服务,包括:DongTai-web、DongTai-webapi、DongTai-openapi、DongTai-engine、agent、DongTai-Base-Image、DongTai-Plugin-IDEA,其中:

DongTai-web是DongTai的产品页面,用于处理用户与洞态的交互
DongTai-webapi负责处理用户的相关操作
DongTai-openapi用于处理agent上报的注册/心跳/调用方法/第三方组件/错误日志等数据,下发hook策略,下发探针控制指令等
DongTai-engine根据调用方法数据和污点跟踪算法分析HTTP/HTTPS/RPC请求中是否存在漏洞,同时负责其它相关的定时任务
agent是DongTai的探针模块,包含不同编程语言的数据采集端,用于采集应用运行时的数据并上报至DongTai-OpenAPI服务
DongTai-Base-Image包含洞态运行时依赖的基础服务,包括:MySql、Redis
DongTai-Plugin-IDEA是Java探针对应的IDEA插件,可通过插件直接运行Java探针,直接在IDEA中检测漏洞

应用场景

洞态(DongTai)一款开源的被动交互式安全测试(IAST)软件-威武网安

“火线-洞态IAST”的应用场景包括但不限于:

嵌入DevSecOps流程,实现应用漏洞的自动化检测/第三方组件梳理/第三方组件漏洞检测
针对开源软件/开源组件进行通用漏洞挖掘
上线前安全测试等
快速开始
洞态IAST支持SaaS服务和本地化部署,本地化部署的详细部署方案见部署文档

1. SaaS版本

填写在线问卷注册账号
登录洞态IAST系统
根据在线文档进行快速体验

2. 本地化部署版本

洞态IAST支持多种部署方案,可通过部署文档了解部署方案详情,方案如下:

单机版部署

docker-compose部署
docker部署方案 – 待更新

集群版部署

Kubernetes集群部署
docker-compose部署

git clone git@github.com:HXSecurity/DongTai.git
cd DongTai
chmod u+x build_with_docker_compose.sh
./build_with_docker_compose.sh
赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《洞态(DongTai)一款开源的被动交互式安全测试(IAST)软件》
文章链接:https://www.wevul.com/673.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册