DongTai 被动型IAST工具

被动型IAST被认为是动型DevSecOps测试阶段实现自动化安全测试的最佳工具，而就在前几天，工具洞态IAST正式开源了，动型这对于甲方构建安全工具链来说，工具绝对是动型一个大利好。

我在5月份的工具时候就申请了洞态IAST企业版内测，算是动型比较早的一批用户了。聊聊几个我比较在意的工具问题，比如API接口覆盖率、动型第三方开源组件检测以及脏数据等问题，工具而这些都是动型安全测试过程中的云服务器痛点，那么在这款工具的工具应用上，我们将找到答案。动型

在这里，工具让我们做一个简单的动型安装部署，接入靶场进行测试体验。

1、快速安装与部署

本地化部署可使用docker-compose部署，拉取代码，一键部署。

git clone https://github.com/HXSecurity/DongTai.git cd DongTai chmod u+x build_with_docker_compose.sh ./build_with_docker_compose.sh 

首次使用默认账号admin/admin登录，配置OpenAPI服务地址，即可完成基本的环境安装和配置。

2、初步体验

以Webgoat作为靶场，香港云服务器新建项目，加载agent，正常访问web应用，触发api检测漏洞。

java -javaagent:./agent.jar -jar webgoat-server-8.1.0.jar --server.port=9999 --server.address=0.0.0.0 

检测到的漏洞情况：

这里，推荐几个使用java开发的漏洞靶场：

Webgoat：https://github.com/WebGoat/WebGoat wavsep：https://github.com/sectooladdict/wavsep bodgeit：https://github.com/psiinon/bodgeit SecExample：https://github.com/tangxiaofeng7/SecExample 

最后，通过将IAST工具接入DevOps流程，在CI/CD pipeline中完成Agent的安装，就可以实现自动化安全测试，开启漏洞收割模式，这应该会是很有意思的尝试。