close


網安引領時代,彌天點亮未來



0x00故事是這樣的

1.我司眾安內部系統在開發項目交付之前,會向我和同事申請滲透測試。

2.兩個人測試效率太低,覆蓋並不是很全,雖然研發部門也有測試人員,但是因為本身就不是做滲透的,不知道怎麼進行安全測試,如何讓不懂滲透的人也加入安全測試呢。

3.所以就體驗了一下https://dongtai.io/,開源的交互式安全測試工具。(說是體驗,其實是等我先學會了再教你們怎麼用)。

4.Sever端使用SaaS體驗,點擊註冊按鈕。


5.填寫註冊信息。


6.之後會收到一封創建帳號成功的郵件。


7.然後登錄控制台下載agent。


8.下載之後是一個jar文件。


9.然後查一下tomcat的pid,我的機器上的pid是755661


10.因為我選擇了自動安裝,所以命令是java -jar dongtai-agent.jar -m install -p 755661,這樣就安裝成功了。


11.測試靶場用的是fastjson 1.2.60 RCE 漏洞。


12.隨便刷新一下頁面。


13.隨便訪問一下。


14.然後就產生的告警了。


15.也能發現組件存在的漏洞。


16.雖然研發部門的測試人員不懂安全測試,但是他們這樣可以在測試功能中也能一起挖洞,可能比我和同事測的更全面。

17.歡迎大家關注彌天安全實驗室公眾號。


知識分享完了

喜歡別忘了關注我們哦~

學海浩茫,
予以風動,
必降彌天之潤!

彌 天

安全實驗室


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()