洞態IAST Python探針內測版發布

01 背景

洞態 IAST 首發 Python-agent 嘗鮮，驗證 Agent 針對路徑穿越漏洞的檢測能力。

洞態 IAST 的檢測方式是掃描運行中的應用程序，將掃描到的漏洞信息發送到云端進行檢測處理。

02 驗證方式

本次驗證選擇在本地啟動python靶場，安裝dongtai-iast Python探針，請求靶場Api，做漏洞檢測。

03 本地環境搭建

1.克隆 python 靶場 源碼

$ git clone https://github.com/jinghao1/python_range_demo

注：python_range_demo 靶場，存在路徑穿越漏洞。運行環境為python3.8，使用的Django3.2版本。

2.使用 PyCharm 打開靶場項目，Python運行版本選擇3.8版本

04 Python-agent的下載與安裝

1.下載 DongTai IAST 插件, 需要登錄洞態 IAST系統，進入部署IAST頁面，點擊下載（同時，也可以使用shell命令curl下載）

2.安裝

3.找到下載的安裝包，因為當前agent版本只支持python3，所以執行 pip3 install ./dongtai-agent-python.tar.gz

當你看到以下截圖內容，說明已經安裝成功

4.配置

5.找到python_range_demo/mysite/mysite/settings.py文件，找到MIDDLEWARE所在行,插入一條

"dongtai_agent_python.middlewares.django_middleware.FireMiddleware",

6.修改環境變量

7.打開Pycharm環境配置，修改環境變量，增加projectName="testProject"，這里添加的環境變量為洞態IAST的項目名稱，系統數據通過項目名稱做匹配關聯。

8.登錄洞態IAST，新增項目，項目名稱與agent端環境變量projectName保持一致

官方文檔：

https://hxsecurity.github.io/DongTai-Doc/#/doc/deploy/python

05 運行項目

1.直接重啟項目

訪問 http://127.0.0.1:8007/demo/no_hook ， 若返回{"status": "201"}，說明項目啟動成功

查看洞態【系統配置】-> 【引擎管理】，如截圖，說明agent啟動成功

若項目agent啟動失敗，請依次檢查

06 漏洞檢測

1.測試項目功能，開始被動式挖洞。分別使用postman發送以下兩個請求

2. 登錄洞態IAST

打開【應用漏洞】，頭部信息篩選，開發語言選擇【Python】，置空漏洞狀態

查看“/demo/post_open的POST請求出現路徑穿越漏洞”，選中它然后點擊查看詳情，跳轉到洞態IAST漏洞詳情頁面，開始分析漏洞

07 漏洞驗證

直接修改form-data,name內容，修改為"mysite/settings.py",發送請求

通過修改變量內容，請求，直接返回了settings.py文件代碼內容，漏洞驗證成功。

08 總結

通過本次測試發現洞態IAST可以檢測路徑穿越漏洞，只需簡單的安裝配置，十分方便，推薦大家嘗試、使用。

09 參考

https://github.com/HXSecurity/DongTai