simpleIAST是一种交互式应用程序安全测试工具。
- 下载并自行打包
# clone安装包
git clone https://github.com/keven1z/simpleIAST.git
mvn clean package
- 运行
将iast-agent.jar和iast-engine.jar 放在同一目录
- 跟随应用启动运行
java -javaagent:iast-agent.jar -jar [app.jar] #
- 应用启动后attach方式运行
# attach方式安装agent
java -jar iast-engine.jar -m install -p [pid]
# attach方式卸载agent
java -jar iast-engine.jar -m uninstall -p [pid]
- Tomcat
- Springboot
- Jetty
- Weblogic
- glassfish
- WildFly
- TongWeb
- Resin
- Undertow
- jdk 1.8
- jdk 11
- SQL注入
- 反序列化漏洞
- SSRF
- URL跳转漏洞
- XXE
- 命令注入
- 文件上传
- XSS
- Spring EL表达式注入
- 数据库弱口令
- XPATH注入
- 硬编码漏洞
启动成功默认显示以下banner
__ _ _ _____ _ __ _____
/ _(_)_ __ ___ _ __ | | ___ \_ \/_\ / _\/__ \
\ \| | '_ ` _ \| '_ \| |/ _ \ / /\//_\\ \ \ / /\/
_\ \ | | | | | | |_) | | __/ /\/ /_/ _ \_\ \ / /
\__/_|_| |_| |_| .__/|_|\___| \____/\_/ \_/\__/ \/
|_|
配置路径:src/main/java/com/keven1z/Agent.java 修改START_MODE 默认以下两种模式: START_MODE_OFFLINE:离线模式. START_MODE_SERVER:服务器模式.
漏洞结果默认打印到控制台
Config.java中增加服务器地址.
参考二次开发
- 心跳包采用websocket
- API改造
- 漏洞检测数量,覆盖ant-application-security-testing-benchmark
- 服务端交互界面(11月底)
- 支持多种中间件
IntelliJ IDEA 是一个在各个方面都最大程度地提高开发人员的生产力的 IDE,适用于 JVM 平台语言。
特别感谢 JetBrains 为开源项目提供免费的 IntelliJ IDEA授权
本项目采用 Apache License 2.0 开源授权许可证。