DongTai-agent-java

Английская версия

Проект представляет собой

DongTai-agent-java — это Penetration Testing Platform IAST для сбора данных в приложениях Java. В приложениях Java, где добавлен агент dongtai-agent, данные собираются путем перезаписи байт-кода класса, а затем отправляются в сервис DongTai-openapi, где облачный движок обрабатывает данные и определяет наличие уязвимостей безопасности.

DongTai-agent-java состоит из четырех частей: agent.jar, dongtai-core.jar, dongtai-inject.jar и dongtai-servlet.jar.

• agent.jar используется для управления жизненным циклом агента и его конфигурацией. Жизненный цикл агента включает загрузку, установку, запуск, остановку, перезапуск и удаление. Конфигурация агента включает настройку режима запуска приложения, режима проверки на уязвимости и включения или отключения агента.
• dongtai-core.jar является основным jar-пакетом, который выполняет следующие функции: перезапись байт-кода, сбор данных, предварительная обработка данных и управление сторонними компонентами.
• dongtai-inject.jar — это пакет-шпион, который внедряется в BootStrap ClassLoader и вызывает методы сбора данных из dongtai-core.jar в целевом приложении.
• dongtai-servlet.jar отвечает за получение запросов от приложения и отправку ответов, а также за отображение данных и воспроизведение запросов.

Сценарии использования

• DevOps-процессы
• Тестирование безопасности перед выпуском
• Управление сторонними компонентами
• Аудит кода
• Исследование 0-day уязвимостей

Быстрый старт

Быстрое использование

Пожалуйста, обратитесь к Quick Start.

Быстрая разработка

1. Fork проекта DongTai-agent-java на свой GitHub-репозиторий и клонируйте проект:

   git clone https://github.com/<your-username>/DongTai-agent-java

2. Напишите код в соответствии с требованиями.

3. Скомпилируйте DongTai-agent-java с помощью Maven:

   mvn clean package -Dmaven.test.skip=true
   • Версия JDK должна быть 1.8.

4. После завершения компиляции в корневом каталоге проекта будет создана папка release:

   release
   ├── dongtai-agent.jar
   └── lib
       ├── dongtai-servlet.jar
       ├── dongtai-core.jar
       └── dongtai-inject.jar

5. Скопируйте файлы dongtai-core.jar, dongtai-inject.jar и dongtai-servlet.jar в системный временный каталог. Чтобы получить путь к системному временному каталогу, можно запустить следующий код на Java:

   System.getProperty("java.io.tmpdir.dongtai");

6. Запустите приложение и протестируйте код (на примере SpringBoot-приложения): java -javaagent:/path/to/dongtai-agent.jar -Ddongtai.debug=true -jar app.jar

7. Внесите свой вклад в код. Если вы хотите внести свой вклад в команду Penetration Testing Platform, ознакомьтесь с полным руководством по внесению вклада CONTRIBUTING.md.

Поддерживаемые версии Java и промежуточное ПО

• Java 1.8+
• Tomcat, Jetty, WebLogic, WebSphere, SpringBoot и другие основные программные продукты и промежуточное программное обеспечение