AWVS 也有一个插桩模式,我们也来试用一下,先安装好awvs
# pull 拉取下载镜像
docker pull secfa/docker-awvs
# 将Docker的3443端口映射到物理机的 13443端口
docker run -it -d -p 13443:3443 secfa/docker-awvs
# 容器的相关信息
awvs13 username: [email protected]
awvs13 password: Admin123
AWVS版本:13.0.200217097
1.要在新建或者对老的目标开启 AcuSensor 如下两张图
图1 未开启AcuSensor
图2 开启AcuSensor,参照图中所示,要使用插桩扫描必须保持AcuSensor为选中状态
2.开启后我们下载桩点和切面jar包,下图按钮就是桩点下载地址
切面jar包下载的地址是:
https://repo1.maven.org/maven2/org/aspectj/aspectjweaver/1.9.5/aspectjweaver-1.9.5.jar
3.把这两个jar包放到tomcat的lib目录中,别忘了要重命名切面jar包为aspectjweaver.jar
4.在catalina.sh中cygwin=false这行上面加入以下代码(请依照实际情况修正jar包的路径)
JAVA_OPTS="$JAVA_OPTS -javaagent:/home/test/apache-tomcat-8.5.61/lib/aspectjweaver.jar -Dacusensor.debug.log=ON"
这样启动的java进程就是可以执行插桩扫描的应用系统,然后就是正常的开始扫描就可以了
5.带有图标的就是插桩测试出来的结果,请参照下图进行对比
以及 (AcuSensor)文字标识的都是插桩扫描出来的结果,很明显插桩扫描出来的结果更为详细,甚至能给出执行的sql语句
图1
图2
其他:springboot的部署可以参照 官方链接,可以要求架构师进行部署swagger,进行统一的插桩扫描,发现系统隐患
FROM openjdk:8-jdk-alpine
COPY AcuSensor.jar AcuSensor.jar
COPY aspectjweaver.jar aspectjweaver.jar
COPY myspringapp.jar myspringapp.jar
EXPOSE 8080
CMD java -javaagent:aspectjweaver.jar -Dacusensor.debug.log=ON -Dloader.path=AcuSensor.jar -cp myspringapp.jar org.springframework.boot.loader.PropertiesLauncher
总结:
awvs相对netsparker配置方便,适合对burp等抓包工具的日志文件或swagger的接口列表文件进行检测
禁止转载
谢谢