- 洞态IAST架构图
官方文档:https://doc.dongtai.io/docs/introduction/dongtai
0x01 部署安装
- 注册SaaS服务,也就是在线网站
- 本地部署
- 安装docker,版本在20+
- 安装docker-compose,版本在v2+
安装时,使用以下命令,使用过pip安装,但是版本是1.89
3. 克隆项目库
git clone https://gitee.com/HXSecurity/DongTai.git
放弃==,网络不行,虚拟机进行安装,执行
./build_with_docker_compose.sh
无法构建,所以放弃,申请SaaS版。
0x02 安装agent
进入后台,带年纪Add Agent,随后选择Java,然后下载Agent.jar
安装agent,我这里是选择了一个SpringBoot项目
java -javaagent:"agent.jar" -jar app.jar
如下:
java -javaagent:"D:/misc/dongtai-agent.jar" -jar micro-service-seclab-0.0.1-SNAPSHOT.jar
成功注册
0x03 “食用”方法
访问接口,/sqlinjection/one?username=xiaoming
查看污点输入,污点传播,污点汇聚
漏洞验证,重放
0x05 SCA组件分析
👍还存在分析文章
后面慢慢探索,就不贴图了。工具不错,还是开源的。
0x06 洞态优点
洞态轻Agent重服务端的设计
若有收获,就点个赞吧
0 人点赞
