怎么部署DongTai被動型IAST工具

本篇內容介紹了“怎么部署DongTai被動型IAST工具”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

目錄

• 01、環境準備 

• 02、快速安裝與部署

• 03、初步測試體驗

我在5月份的時候就申請了洞態IAST企業版內測，算是比較早的一批用戶了。聊聊幾個我比較在意的問題，比如API接口覆蓋率、第三方開源組件檢測以及臟數據等問題，而這些都是安全測試過程中的痛點，那么在這款工具的應用上，我們將找到答案。

在這里，讓我們做一個簡單的安裝部署，接入靶場進行測試體驗。

01、環境準備 

Docker安裝

1、安裝所需的軟件包
 sudo yum install -y yum-utils \
  device-mapper-persistent-data \
  lvm2

2、設置倉庫 
sudo yum-config-manager \
    --add-repo \
    http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

3、安裝最新版本的 Docker Engine-Community 和 containerd
sudo yum install docker-ce docker-ce-cli containerd.io

docker-compose安裝

wget https://github.com/docker/compose/releases/download/1.29.2/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64  /usr/local/bin/docker-compose 
chmod +x /usr/local/bin/docker-compose  
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

02、快速安裝與部署

洞態IAST支持多種部署方式，本地化部署可使用docker-compose部署。

$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ ./build_with_docker_compose.sh

首次使用默認賬號admin/admin登錄，配置dongtai-openapi，即可完成基本的環境部署和配置。

首次使用默認賬號admin/admin登錄，配置OpenAPO服務地址，即可完成基本的環境安裝和配置。

03、初步測試體驗

以Webgoat作為靶場，新建項目，加載agent，正常訪問web應用，觸發api檢測漏洞。

部署Agent：

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0

 檢測到的漏洞情況：

這里，推薦幾個使用java開發的漏洞靶場：

Webgoat：https://github.com/WebGoat/WebGoat
wavsep：https://github.com/sectooladdict/wavsep
bodgeit：https://github.com/psiinon/bodgeit
SecExample：https://github.com/tangxiaofeng7/SecExample

最后，通過將IAST工具接入DevOps流程，在CI/CD pipeline中完成Agent的安裝，就可以實現自動化安全測試，開啟漏洞收割模式，這應該會是很有意思的嘗試。

備注：刪除所有容器 docker rm -f `docker ps -a -q`     刪除所有鏡像 docker rmi `docker images -q`

“怎么部署DongTai被動型IAST工具”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！