DongTai

被动式交互式安全测试产品
授权协议 Apache
开发语言 SHELL
所属分类 管理和监控、 漏洞检测扫描和评估
软件类型 开源软件
地区 国产
投 递 者 廉展鹏
操作系统 跨平台
开源组织
适用人群 未知
 软件概览

DongTai(洞态IAST)是一款开源的被动式交互式安全测试(IAST)产品,通过动态hook和污点跟踪算法等实现通用漏洞检测多请求关联漏洞检测(包括但不限于越权漏洞、未授权访问)第三方组件漏洞检测等,目前支持Java、Python两种语言的应用漏洞检测。

技术架构

"火线-洞态IAST"具有多个基础服务,包括:DongTai-webDongTai-webapiDongTai-openapiDongTai-engineagentDongTai-deployDongTai-Base-ImageDongTai-Plugin-IDEA,其中:

  • DongTai-web是DongTai的产品页面,用于处理用户与洞态的交互
  • DongTai-webapi负责处理用户的相关操作
  • DongTai-openapi用于处理agent上报的注册/心跳/调用方法/第三方组件/错误日志等数据,下发hook策略,下发探针控制指令等
  • DongTai-engine根据调用方法数据和污点跟踪算法分析HTTP/HTTPS/RPC请求中是否存在漏洞,同时负责其它相关的定时任务
  • agent是DongTai的探针模块,包含不同编程语言的数据采集端,用于采集应用运行时的数据并上报至DongTai-OpenAPI服务
  • DongTai-deploy用于洞态IAST的部署,包括docker-compose单节点部署、Kubernetes集群部署等,如果想要更多部署方案,可以提feature申请或贡献部署方案
  • DongTai-Base-Image包含洞态运行时依赖的基础服务,包括:MySql、Redis
  • DongTai-Plugin-IDEA是Java探针对应的IDEA插件,可通过插件直接运行Java探针,直接在IDEA中检测漏洞

应用场景

"火线-洞态IAST"的应用场景包括但不限于:

  • 嵌入DevSecOps流程,实现应用漏洞的自动化检测/第三方组件梳理/第三方组件漏洞检测
  • 针对开源软件/开源组件进行通用漏洞挖掘
  • 上线前安全测试等
  •  package dongtai; import java.util.Scanner; public class chonhQi {  public static int[] Gas_min=new int[1000];  public static int chongMinGas=0;  public static int tempGas=0;  public static int test

 相关资料
  • 原文:Interactive navigation 所有图形窗口都带有导航工具栏,可用于浏览数据集。 以下是工具栏底部的每个按钮的说明: Home(首页)、Forward(前进)和Back(后退)按钮: 这些类似于 Web 浏览器的前进和后退按钮。 它们用于在之前定义的视图之间来回浏览。 它们没有意义,除非你已经使用平移和缩放按钮访问了其他地方。 这类似于尝试在访问新页面之前单击 Web 浏览器上

  • 响应式交互能让用户信任,并且吸引他们。 当用户操作一个美观且符合常理的应用时,他们会感到满意甚至很高兴。那是一种经过深思熟虑、有目的、非随机的而且可以带有轻微异想天开但不会让人分心的交互。 在 material design 中,应用是响应式的并且渴望用户操作的: 触摸,语音,键盘及鼠标作为首要考虑的输入方式。 虽然 UI 元素是有形的,但是他们被限制在屏幕里面(电脑或者移动设备的屏幕),视觉元素

  • 你亦可以选择进行交互式的rebase。这种方法通常用于在向别处推送提交之前对它们进行重写。交互式rebase提供了一个简单易用的途径让你在和别人分享提交之前对你的提交进行分割、合并或者重排序。在把从其他开发者处拉取的提交应用到本地时,你也可以使用交互式rebase对它们进行清理。 如果你想在rebase的过程中对一部分提交进行修改,你可以在'git rebase'命令中加入'-i'或'--inte

  • 开始调试 # pdb_script.py #!/usr/bin/env python3 # encoding: utf-8 # # Copyright (c) 2010 Doug Hellmann. All rights reserved. # class MyObj: def __init__(self, num_loops): self.count = num_

  • 我曾尝试在VisualStudio2008中设置Interactive Broker的C API,但我知道的C非常有限,并且不断出现错误: 1)是否有任何方法可以使用某种轻量级的脚本语言来连接到Interactive Brokers并进行交易。 像Python这样轻量级的东西就可以了,是的,我已经研究过IBMY,但我不明白java2python系统是如何工作的。 2) 您是如何设置您的自动系统的,

  • (多种主题皮肤在线预览,支持安装前和安装后预览选择) 高端主题建站致力打造高质量的具有特色界面需求,视觉创意需求,品牌需求的“中小型网站、移动互联网站”产品和衍生UI产品、网站UI云服务产品 a) 这不仅仅是一套产品,使用它,你会感觉是在享受,是在快乐! b) 高端的网站界面和细节,风格各异的UI体验,打破传统的博客、CMS等,极力增强界面视觉深度 c) 产品85% 提供全站静态自动生成,定时更新

  • 英文原文:http://emberjs.com/guides/testing/testing-user-interaction/ 几乎所有的测试都有访问路由的一种固有模式,就是与页面进行交互(通过助手),然后检测期待的改变是否在DOM中发生。 例如: 1 2 3 4 5 6 test('root lists first page of posts', function(){ visit('/

  • Git 自带的一些脚本可以使在命令行下工作更容易。 本节的几个互交命令可以帮助你将文件的特定部分组合成提交。 当你修改一组文件后,希望这些改动能放到若干提交而不是混杂在一起成为一个提交时,这几个工具会非常有用。 通过这种方式,可以确保提交是逻辑上独立的变更集,同时也会使其他开发者在与你工作时很容易地审核。 如果运行 git add 时使用 -i 或者 --interactive 选项,Git 将会