SimpleIAST
simpleIAST- 基于污点追踪的灰盒漏洞扫描工具。
Install / Use
/learn @keven1z/SimpleIASTREADME
simpleIAST
简体中文 / English
基于污点追踪的灰盒漏洞扫描工具,实时识别并展示 Java Web 应用中的常见安全漏洞。
简介
simpleIAST 是一款基于 Java Agent 的灰盒漏洞扫描工具,利用污点追踪技术在应用运行时检测 Java Web 应用中的安全风险,包括但不限于 SQL 注入、反序列化漏洞、XSS 和 XXE 等常见漏洞。工具轻量易集成,兼容主流中间件与 JDK 版本,适合 DevSecOps 场景使用。
快速开始
克隆项目
git clone https://github.com/keven1z/simpleIAST.git
cd simpleIAST
使用 Docker 启动
cd docker/
chmod +x ./deploy.sh
sudo ./deploy.sh
- 前端访问地址:
http://[your_ip]:8443/ - 默认登录:用户名
admin,密码123456 - 前端端口:8443,后端端口:81
Agent 启动方式
1. 随应用启动注入
java -javaagent:iast-agent.jar -jar [app.jar]
2. 应用启动后以 attach 方式注入
java -jar iast-engine.jar -m install -p [pid] # 安装 Agent
java -jar iast-engine.jar -m uninstall -p [pid] # 卸载 Agent
请确保
iast-agent.jar与iast-engine.jar位于同一目录。
特性与兼容性
支持中间件
- Tomcat
- Spring Boot
- Jetty
- Weblogic
- GlassFish
- WildFly
- TongWeb
- Resin
- Undertow
支持 JDK 版本
- JDK 1.8
- JDK 11
检测漏洞类型(含严重等级)
| 序号 | 漏洞类型 | 严重程度 | |------|------------------------------|----------| | 1 | SQL 注入 | 高危 | | 2 | 反序列化漏洞 | 严重 | | 3 | SSRF(服务端请求伪造) | 中危 | | 4 | URL 跳转漏洞 | 中危 | | 5 | XXE(XML 外部实体注入) | 高危 | | 6 | 命令注入 | 严重 | | 7 | 文件上传漏洞 | 中危 | | 8 | XSS(跨站脚本攻击) | 中危 | | 9 | Spring EL 表达式注入 | 高危 | | 10 | 数据库弱口令 | 中危 | | 11 | XPATH 注入 | 高危 | | 12 | 硬编码漏洞 | 中危 | | 13 | Fastjson 反序列化漏洞 | 严重 |
benchmark
进一步文档
更多使用指南与文档内容请访问项目 Wiki:
许可
本项目采用 Apache License 2.0 协议,详见 LICENSE 文件。
