EthanDoctor

IAST&SAST项目篇&CodeQL拓展&火线洞态&Agent部署&DevSecOps

Ethan医生2个月前代码审计80

image.jpg

#SAST-CodeQL&CodeQLpy-JAVA

测评:若依系统&Tmall商城

在官方规则引擎下升级Java检测

https://github.com/webraybtl/codeQlpy

1、安装Python依赖

2、安装JDK8&11,Maven

3、修改配置文件路径指向

 

#IAST-火线洞态-Agent&IDEA-JAVA

参考:https://doc.dongtai.io/docs/introduction

测评:若依系统&Tmall商城

1、环境搭建:

Ubuntu 18.04

apt update

apt install docker.io

cp docker-compose /usr/bin/docker-compose

chmod +x /usr/bin/docker-compose

修改配置文件,填入SCA-Token后直接拉取

cd DongTai/deploy/docker-compose/

./dtctl install -v 1.9.1

2、Agent部署:

-IDEA插件

https://github.com/HXSecurity/DongTai-Plugin-IDEA/releases

https://doc.dongtai.io/docs/getting-started/agent/plugin/java-agent-idea

-Agent部署

netstat -ano | findstr xxxx

https://doc.dongtai.io/docs/category/agent-%E5%AE%89%E8%A3%85%E6%8C%87%E5%8D%97


返回列表

上一篇:SAST项目篇&CodeQL审计&SCA插件&语言应用&开源商业&自动工具

下一篇:Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

相关文章

PHP模型开发篇&动态调试&反序列化&变量覆盖&TP框架&原生POP链

#PHP常见漏洞关键字:SQL注入:select insert update mysql_query mysqli等文件上传:$_FILES,type="file",上传,move...

ASP.NET开发篇&DLL反编译&动态调试&EXE逆向&鉴权逻辑&脆弱验证

#DLL反编译工具:dnSpy = ILSpy => Reflectorhttps://github.com/dnSpy/dnSpyhttps://github.com/icsharpcode/...

JavaEE开发篇&Shiro反序列化&CB1链&source入口&sink执行&gadget链

JavaEE开发篇&Shiro反序列化&CB1链&source入口&sink执行&gadget链

#Shiro反序列化链知识点:1、Shiro用途和验证逻辑2、Shiro反序列化怎么造成3、Shiro反序列化漏洞利用 #Shiro反序列化链分析当获取用户请求时,大致的关键处理过程如下:·...

JavaEE开发篇&原生反序列化&CB链&CC链&Ysoserial链&字节码加载

JavaEE开发篇&原生反序列化&CB链&CC链&Ysoserial链&字节码加载

#补充JS逆向浏览器插件Hook JS算法脚本1、安装Tampermonkey(扶墙谷歌商店安装)2、添加和启用JS插件3、测试登录看控制台脚本地址:https://github.com/Captai...

PHP框架开发篇&ThinkPHP&反序列化&POP利用链&RCE执行&文件删除

PHP框架开发篇&ThinkPHP&反序列化&POP利用链&RCE执行&文件删除

#框架审计总结方向:1、版本不安全写法怎么检测-本地复现版本写法对比-参考官方开发手册写法2、版本自身的漏洞怎么检测-平常多关注此类框架漏洞-配合黑盒工具检测找入口https://github.com...

JavaEE开发篇&文件安全&上传下载读取写入&功能点入口&Filter过滤器

#JavaEE审计-文件安全-上传&下载&读取&写入等1、搜索类别:业务关键字&相关操作类&封装关键字2、功能点也适用,直接找文件操作功能进行代码追溯new F...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号