[[423321]]

被動型IAST被認(rèn)為是DevSecOps測試階段實現(xiàn)自動化安全測試的最佳工具，而就在前幾天，洞態(tài)IAST正式開源了，這對于甲方構(gòu)建安全工具鏈來說，絕對是一個大利好。

我在5月份的時候就申請了洞態(tài)IAST企業(yè)版內(nèi)測，算是比較早的一批用戶了。聊聊幾個我比較在意的問題，比如API接口覆蓋率、第三方開源組件檢測以及臟數(shù)據(jù)等問題，而這些都是安全測試過程中的痛點，那么在這款工具的應(yīng)用上，我們將找到答案。

在這里，讓我們做一個簡單的安裝部署，接入靶場進(jìn)行測試體驗。

1、快速安裝與部署

本地化部署可使用docker-compose部署，拉取代碼，一鍵部署。

git clone https://github.com/HXSecurity/DongTai.git 
cd DongTai 
chmod u+x build_with_docker_compose.sh 
./build_with_docker_compose.sh 

首次使用默認(rèn)賬號admin/admin登錄，配置OpenAPI服務(wù)地址，即可完成基本的環(huán)境安裝和配置。

2、初步體驗

以Webgoat作為靶場，新建項目，加載agent，正常訪問web應(yīng)用，觸發(fā)api檢測漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0 

檢測到的漏洞情況：

這里，推薦幾個使用java開發(fā)的漏洞靶場：

Webgoat：https://github.com/WebGoat/WebGoat 
wavsep：https://github.com/sectooladdict/wavsep 
bodgeit：https://github.com/psiinon/bodgeit 
SecExample：https://github.com/tangxiaofeng7/SecExample 

最后，通過將IAST工具接入DevOps流程，在CI/CD pipeline中完成Agent的安裝，就可以實現(xiàn)自動化安全測試，開啟漏洞收割模式，這應(yīng)該會是很有意思的嘗試。