05 2021 档案
摘要:IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试
阅读全文
摘要:openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。在这里,我们通过docker部署控制台,接入一个PHP应用进行测试体验。 一、快速搭建环境 使用容器快速搭建一整套的测试环境,包含 IAST 扫描器
阅读全文
摘要:漏洞描述: EJBInvokerServlet和JMXInvokerServlet Servlet中存在一个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制请求利用此漏洞来安装任意应用程序。 https://192.168.xxx.22/invoker/EJBInvokerServlet ht
阅读全文
