渗透测试常用工具总结——DAST、SAST、IAST

@Camelus 已于 2023-01-05 13:02:46 修改
阅读量1.2k 收藏 4
点赞数
分类专栏: 信息安全工具 文章标签: 安全 web安全 java
于 2023-01-03 19:06:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.csdn.net/m0_61506558/article/details/128530495
版权
信息安全工具 专栏收录该内容
31 篇文章 15 订阅
订阅专栏

目录

 (一)DAST

  (二)SAST

0x01 PHP

0x02 .NET

0x03 JAVA

0x04 Python

0x05 JS

0x06 Go

0x07 Ruby

(三)IAST

1、火线洞态测评报告

0x01 介绍

0x02 安装

0x03 控制台

0x04 测试平台

0x05 

图 1-1 常用测试工具

 (一)DAST

AppScan内部、外部手工扫描_@Camelus的博客-CSDN博客_appscan如何使用外部浏览器扫描

Nessus安装与使用_@Camelus的博客-CSDN博客_nessus安装

AWVS扫描web站点_@Camelus的博客-CSDN博客_awvs扫描有登录的页面

【第 7 章】Xray 服务器篇 | Project X

  (二)SAST

0x01 PHP

  • Seay源代码审计系统
  • RIPS
  • CheckMarx
  • Fortify
  • VCG
  • Kunlun-M

0x02 .NET

  • VCG
  • Fortify
  • CheckMarx

0x03 JAVA

  • Fortify
  • CheckMarx

0x04 Python

  • Bandit
  • CheckMarx

0x05 JS

  • Kunlun-M
  • NodeJsScan
  • CheckMarx

0x06 Go

  • Gosec
  • CheckMarx

0x07 Ruby

  • brakeman
  • Cobra

多功能:

GitHub - FeeiCN/Cobra: Source Code Security Audit (源代码安全审计)

(三)IAST

图 3-1 常用IAST平台

相当于黑盒和白盒配合进行审计,交互式进行测试,要配置代理,把流量注入转发到平台。

1、火线洞态测评报告

0x01 介绍

概览 | 洞态文档

0x02 安装

GitHub - HXSecurity/DongTai: DongTai is an interactive application security testing(IAST) product that supports the detection of OWASP WEB TOP 10 vulnerabilities, multi-request related vulnerabilities (including logic vulnerabilities, unauthorized access vulnerabilities, etc.), third-party component vulnerabilities, etc.

图 3-1 在idea里面安装插件

只能支持springBoot环境启动

0x03 控制台

火线

0x04 测试平台

https://labs.last.huoxian.cn/#/images/index

火线

三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 480
应用程序安全是个永恒的话题,而SAST、DASTIAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
墨痕诉清风的博客
06-01 1541
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。
DAST 已死,为何业务逻辑安全测试成为焦点
网络研究观
04-21 3698
业务逻辑安全测试无疑将成为确保 API 安全的中心舞台。
悬镜安全SAST,DASTIAST分不清?看这篇就够了!
Anprou的博客
10-16 2847
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DASTIAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
最新发布
网络研究观
06-30 2264
本综合指南将探讨 DAST渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST渗透测试之间的关系。
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
安全开发基础 -- DASTSAST,IAST简单介绍
qq_61039408的博客
03-06 1475
通过爬虫发现整个 Web 应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数;根据爬虫的分析结果,对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试(扫描规则库);通过对于 Response 的分析验证是否存在安全漏洞。
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3969
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DASTSAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
详解安全测试工具SAST、DASTIAST、SCA的异同
qzt961003的博客
08-25 5078
安全测试工具分为两类:自动化安全测试工具和手工安全测试。而自动化安全测试工具现在市场细分已经非常完善,有诸如SAST、SCA等等工具。手工安全测试一般则指的是渗透测试
网络安全通识全解|第18期 DASTSAST、IAST——Web应用安全测试技术
Tianqi_Wukong的博客
11-08 5489
在互联网高度发达的当下,智能化的软件成为商业决策、推广等不可缺少的利器,很多软件涉及了客户商业上重要的信息资料,一个细小的安全漏洞,将有可能对客户造成巨大影响。因此,软件安全测试的重要性不言而喻。 Web应用安全测试技术经过多年的发展,目前业界常用的技术主要分为以下3大类别。 DAST(动态应用程序安全测试) DAST是一种黑盒测试技术,是目前应用最广泛,使用最简单的一种Web应用安全测试方法。 技术原理 1、通过爬虫发现整个Web应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数
SAST、DASTIAST几种测试工具的比较
jimmyleeee的专栏
07-02 6821
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
IAST 工具初探
05-26 1313
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
一文搞懂:开发安全中的SAST、DASTIAST和RASP
qq_21408865的博客
06-05 1508
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1480
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
SAST,DASTIASTSAST,DASTIAST区别及原理
无为
03-26 942
SAST,DASTIAST区别及原理
DongTai 被动型IAST工具
09-06 744
被动型IAST被认为是DevSecOps测试阶段实现自动化安全测试的最佳工具,而就在前几天,洞态IAST正式开源了,这对于甲方构建安全工具链来说,绝对是一个大利好。我在5月份的时候就申请了...
为什么都在选择IAST作为安全漏洞检测工具
xlsj雪松的博客
03-18 508
为什么都在选择IAST作为安全漏洞检测工具
安装运行DASTSAST、IAST工具至少各一种,设计对比实验
06-13
好的,我可以为您提供一些关于DASTSAST、IAST工具的信息以及如何进行对比实验。 首先,DAST(动态应用程序安全测试)工具是一种测试Web应用程序安全性的工具,它通过模拟攻击来检测应用程序中的漏洞。常见的DAST工具包括:Burp Suite、OWASP ZAP、Netsparker等。 其次,SAST(静态应用程序安全测试)工具是一种分析源代码的工具,以检测可能导致安全漏洞的代码。常见的SAST工具包括:Checkmarx、Veracode、Fortify等。 最后,IAST(交互式应用程序安全测试)工具是一种结合了DASTSAST的工具,它可以在运行时检测到应用程序中的漏洞,并同时分析源代码以确定漏洞的根本原因。常见的IAST工具包括:Contrast Security、Rapid7、Qualys等。 对于如何进行对比实验,您可以考虑以下几个方面: 1.功能比较:比较不同工具的功能和特性,如检测准确性、可扩展性、易用性等。 2.效率比较:比较不同工具在检测漏洞时的效率和速度。 3.成本比较:比较不同工具的成本和使用成本,包括购买费用、维护费用等。 4.实际应用:将不同工具应用于实际项目中,并比较它们在实际环境中的表现和效果。 需要注意的是,这些工具的适用情况和效果会因为具体的应用环境、应用程序的类型和规模、测试人员的技能等因素而有所不同,因此在进行对比实验时需要对具体情况进行分析和评估。
写文章

热门文章

  • Nessus安装与使用 28434
  • Kali下Cobalt Strike4.4的安装 11497
  • 漏洞扫描工具AWVS介绍及安装教程 11101
  • Tomcat AJP 文件包含漏洞(CVE-2020-1938) 8063
  • CVE-2022-22947 Spring Cloud Gateway RCE漏洞复现分析 7742

分类专栏

  • 渗透与攻防 付费 110篇
  • Java安全代码审计分析 付费 39篇
  • python渗透测试 付费 5篇
  • 信息安全工具 31篇
  • 靶场练习 14篇
  • vulhub漏洞复现 11篇
  • 信息安全 7篇
  • vulnhub 3篇
  • 数据库漏洞 6篇
  • 域环境渗透 2篇
  • 渗透面试题 2篇
  • php 1篇
  • 密码学基础 3篇

最新评论

  • Nessus安装与使用

    2301_80649130: 得不到插件更新地址和证书怎么办

  • Nessus安装与使用

    riko2015918: 10.7.0之后是无法破解了吗

  • Kali下Cobalt Strike4.4的安装

    %#*\&193: 请问为什么最后一步显示权限不够啊

  • Nessus安装与使用

    2201_75636670: nessus10.7.3破解无效,那个要被替换的文件没了

  • vulnhub prime1通关提权详细思路

    Yf3_te: 为什么在最后执行45010时,我会出现报错: ./45010: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34' not found (required by ./45010)

最新文章

  • 应急响应——IDS&IPS&msf流量&后门分析
  • 渗透测试常见问题——如何利用403&Lcx编译与端口转发&站库分离渗透
  • web安全——Mybatis防止SQL注入& ssrf漏洞利用& DNS污染&同源策略
2023年40篇
2022年201篇

目录

目录

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43元 前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或 充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值

玻璃钢生产厂家深圳节庆商场美陈哪里买扬州玻璃钢浮雕雕塑江门多种玻璃钢雕塑方形玻璃钢花盆图片商场吊挂式美陈福建特色商场美陈批发价玻璃钢雕塑哪家的好南通玻璃钢仿真水果雕塑定制深圳透光玻璃钢雕塑现货草莓玻璃钢卡通雕塑设计深圳玻璃钢花盆制作玻璃钢雕塑厂商潼南玻璃钢雕塑山西玻璃钢人物景观雕塑厂家商场美陈词语玻璃钢雕塑4米高双环形价格天水广场玻璃钢雕塑定制四川动物玻璃钢雕塑定制玻璃钢观音雕塑厂家定做河北玻璃钢仿铜雕塑价格玻璃钢熊猫雕塑介绍玻璃钢雕塑行业分析报告临汾玻璃钢仿铜雕塑商场美陈节日图片贵阳定制玻璃钢雕塑多少钱张掖彩色玻璃钢雕塑东阳广场玻璃钢雕塑清远玻璃钢雕塑公司南宁环保玻璃钢雕塑销售电话阿坝人物玻璃钢雕塑香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声单亲妈妈陷入热恋 14岁儿子报警汪小菲曝离婚始末遭遇山火的松茸之乡雅江山火三名扑火人员牺牲系谣言何赛飞追着代拍打萧美琴窜访捷克 外交部回应卫健委通报少年有偿捐血浆16次猝死手机成瘾是影响睡眠质量重要因素高校汽车撞人致3死16伤 司机系学生315晚会后胖东来又人满为患了小米汽车超级工厂正式揭幕中国拥有亿元资产的家庭达13.3万户周杰伦一审败诉网易男孩8年未见母亲被告知被遗忘许家印被限制高消费饲养员用铁锨驱打大熊猫被辞退男子被猫抓伤后确诊“猫抓病”特朗普无法缴纳4.54亿美元罚金倪萍分享减重40斤方法联合利华开始重组张家界的山上“长”满了韩国人?张立群任西安交通大学校长杨倩无缘巴黎奥运“重生之我在北大当嫡校长”黑马情侣提车了专访95后高颜值猪保姆考生莫言也上北大硕士复试名单了网友洛杉矶偶遇贾玲专家建议不必谈骨泥色变沉迷短剧的人就像掉进了杀猪盘奥巴马现身唐宁街 黑色着装引猜测七年后宇文玥被薅头发捞上岸事业单位女子向同事水杯投不明物质凯特王妃现身!外出购物视频曝光河南驻马店通报西平中学跳楼事件王树国卸任西安交大校长 师生送别恒大被罚41.75亿到底怎么缴男子被流浪猫绊倒 投喂者赔24万房客欠租失踪 房东直发愁西双版纳热带植物园回应蜉蝣大爆发钱人豪晒法院裁定实锤抄袭外国人感慨凌晨的中国很安全胖东来员工每周单休无小长假白宫:哈马斯三号人物被杀测试车高速逃费 小米:已补缴老人退休金被冒领16年 金额超20万

玻璃钢生产厂家 XML地图 TXT地图 虚拟主机 SEO 网站制作 网站优化