SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。

工具介绍

simpleIAST是一种交互式应用程序安全测试工具。

开始部署

1. clone项目

git clone https://github.com/keven1z/simpleIAST.git

2. docker运行

cd ./simpleIAST/docker/
docker-compose up -d

3. 访问

访问地址: http://[your_ip]:8443/
默认用户名: admin
默认密码: 123456

前端端口:  8443

后端端口: 81

数据库端口: 33060

redis端口: 63790

Agent启动

将iast-agent.jar和iast-engine.jar 放在同一目录

跟随应用启动运行

java -javaagent:iast-agent.jar -jar [app.jar] # 

应用启动完成attach方式运行

# attach方式安装agent java -jar iast-engine.jar -m install -p [pid]  # attach方式卸载agent java -jar iast-engine.jar -m uninstall -p [pid] 

兼容

支持中间件

• Tomcat
• Springboot
• Jetty
• Weblogic
• glassfish
• WildFly
• TongWeb
• Resin
• Undertow

支持JDK

• jdk 1.8
• jdk 11

支持漏洞

• SQL注入
• 反序列化漏洞
• SSRF
• URL跳转漏洞
• XXE
• 命令注入
• 文件上传
• XSS
• Spring EL表达式注入
• 数据库弱口令
• XPATH注入
• 硬编码漏洞

工具获取

https://github.com/keven1z/simpleIAST/tree/master

文章来源：夜组安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END