woocommerce做的网站,百度视频,专业网站建设公司电话,济南专业手机端网站建设DASTSASTIAST项目介绍 DAST#xff1a; 动态应用程序安全测试#xff08;Dynamic Application Security Testing#xff09;技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击#xff0c;分析应用程序的反应#xff0c;从而确定该We… DASTSASTIAST项目介绍 DAST 动态应用程序安全测试Dynamic Application Security Testing技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击分析应用程序的反应从而确定该Web应用是否易受攻击。 SAST 静态应用程序安全测试Static Application Security Testing技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。 IAST 交互式应用程序安全测试Interactive Application Security Testing是2012年Gartner公司提出的一种新的应用程序安全测试方案通过代理、VPN或者在服务端部署Agent程序收集、监控Web应用程序运行时函数执行、数据传输并与扫描器端进行实时交互高效、准确的识别安全缺陷及漏洞同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。 各类语言审计工具 PHPSeay RIPS CheckMarx Fortify VCG Kunlun-M NETVCG Fortify CheckMarx JavaFortify CheckMarx VCG PythonBandit Fortify CheckMarx JSKunlun-M NodeJsScan Fortify CheckMarx GoGosec CheckMarx 演示SAST各类语言审计工具详细介绍 工具Seay源代码审计系统(还可以当phpstorm查看代码) 语言php 下载https://github.com/f1tz/cnseay 使用启动工具选择 新建项目 导入源码——点击 自动审计 就会自动将可能存在漏洞的代码点列出来。 工具KunLun-M (推荐使用-非常香) 介绍KunLun-M是一个完全开源的静态白盒扫描工具支持PHP、JavaScript的语义扫描基础安全、组件安全扫描Chrome Ext\Solidity的基础扫描。 语言PHPJS 下载https://github.com/LoRexxar/Kunlun-M 安装 1、安装依赖库pip install -r requirements.txt 2、配置文件启用(修改文件后缀)Kunlun_M/settings.py.bak —— Kunlun_M/settings.py 3、初始化数据库python kunlun.py init initialize 4、加载规则数据库python kunlun.py config load 命令行模式使用(python3)python kunlun.py scan -t 源码路径 扫描完成结果保存在工具根目录result目录下 WEB模式使用python kunlun.py web -p 9999 访问localhost:9999 进入web模式。 工具VCG (老牌工具一般般) 语言PHP,NET,JAVA 下载https://github.com/nccgroup/VCG 使用运行exe程序第一步必须点击Settings选择源码语言。第一次启动程序会弹出一个框双击进入点击ok即可。 第二步点击File——Net Target Directory 选择源码 第三步点击scan选择扫描模式开始扫描 第四步扫描完成会弹出如下选项双击进入选择第一个选项点击ok即可查看审计详情。 审计详情 第五步点击Summary Table 即可查看漏洞产生的代码位置 工具Bandit 语言Python 下载https://github.com/PyCQA/bandit 安装pip install bandit 工具根目录执行 linux: 安装后会在当前Python目录下的bin中生成工具运行程序 使用bandit.exe -r 需要审计的源码目录 windows: 安装后会在当前Python目录下的script中生成工具运行程序 使用bandit.exe -r 需要审计的源码目录 python/scripts目录进入命令行执行扫描结果展示在命令行——高危红色 中危黄色 低危蓝色 使用 -o a.txt(文件名) -f txt(文件类型) 这两个参数即可将扫描结果保存到python/scripts目录
