EthanDoctor

IAST&SAST项目篇&CodeQL拓展&火线洞态&Agent部署&DevSecOps

Ethan医生5个月前代码审计146

image.jpg

#SAST-CodeQL&CodeQLpy-JAVA

测评:若依系统&Tmall商城

在官方规则引擎下升级Java检测

https://github.com/webraybtl/codeQlpy

1、安装Python依赖

2、安装JDK8&11,Maven

3、修改配置文件路径指向

 

#IAST-火线洞态-Agent&IDEA-JAVA

参考:https://doc.dongtai.io/docs/introduction

测评:若依系统&Tmall商城

1、环境搭建:

Ubuntu 18.04

apt update

apt install docker.io

cp docker-compose /usr/bin/docker-compose

chmod +x /usr/bin/docker-compose

修改配置文件,填入SCA-Token后直接拉取

cd DongTai/deploy/docker-compose/

./dtctl install -v 1.9.1

2、Agent部署:

-IDEA插件

https://github.com/HXSecurity/DongTai-Plugin-IDEA/releases

https://doc.dongtai.io/docs/getting-started/agent/plugin/java-agent-idea

-Agent部署

netstat -ano | findstr xxxx

https://doc.dongtai.io/docs/category/agent-%E5%AE%89%E8%A3%85%E6%8C%87%E5%8D%97


返回列表

上一篇:SAST项目篇&CodeQL审计&SCA插件&语言应用&开源商业&自动工具

下一篇:Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

相关文章

代码审计-JavaEE开发篇&第三方组件&依赖库挖掘&FastJson&Shrio&Log4j&H2DB

#JavaEE审计-第三方组件安全1、找存在漏洞的第三方组件(Package Checker插件)2、找组件漏洞利用入口条件(根据网上已知漏洞复现条件)3、找可控地方进行测试检测(根据网上已知漏洞利用...

PHP框架开发篇&Yii反序列化&POP利用链&某达OA&某商城&CVE分析

参考资料:CVE-2020-15148漏洞分析https://www.extrader.top/posts/c79847eehttps://www.anquanke.com/post/id/25442...

PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证

PHP模型开发篇&MVC层&RCE执行&文件对比法&1day分析&0day验证

-MVC流程:1、Controller截获用户发出的请求;2、Controller调用Model完成状态的读写操作;3、Controller把数据传递给View;4、View渲染最终结果并呈献给用户。...

JavaEE开发篇&Shiro反序列化&CB1链&source入口&sink执行&gadget链

JavaEE开发篇&Shiro反序列化&CB1链&source入口&sink执行&gadget链

#Shiro反序列化链知识点:1、Shiro用途和验证逻辑2、Shiro反序列化怎么造成3、Shiro反序列化漏洞利用 #Shiro反序列化链分析当获取用户请求时,大致的关键处理过程如下:·...

PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘

PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘

快速分析脆弱:1、看文件路径2、看代码里面的变量(可控)3、看变量前后的过滤 文件安全挖掘点:1、脚本文件名2、应用功能点3、操作关键字文件上传,文件下载(读取),文件包含,文件删除等&nb...

JavaEE开发篇&文件安全&上传下载读取写入&功能点入口&Filter过滤器

#JavaEE审计-文件安全-上传&下载&读取&写入等1、搜索类别:业务关键字&相关操作类&封装关键字2、功能点也适用,直接找文件操作功能进行代码追溯new F...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号