火线～洞态IAST 🎉🎉🎉

一款交互式应用安全评估工具（被动式）

一、简介

1.火线～洞态IAST属于被动式IAST，不需要重放数据包，不产生脏数据；

2.被动式IAST具有近实时检测、高检出率、低误报率、低漏报率等特点；理论上可以实现0误报，但是，在复杂场景下，会出现污点链路不准确、误报等情况，尤其是使用了自定义的过滤函数

二、🚀 火线～洞态IAST极速体验

快速开始请查看官方文档

三、检测能力

• 命令执行
• SQL注入，支持常见数据库的sql注入检测，包括mysql、mssql等
• LDAP注入
• SMTP注入
• XPATH注入
• EL表达式注入
• Hql注入
• NoSql注入
• header头注入
• XXE
• 不安全的readline
• 不安全的重定向
• 不安全的转发
• 路径穿越
• 弱加密算法
• 弱哈希算法
• 弱随机数算法
• 信任边界
• Cookie未设置secure
• 反射注入
• 第三方组件收集及漏洞检测

四、问答区

1.火线平台地址是什么？

https://www.huoxian.club/#/index

2.火线注册邀请码怎么获得？

方式1：提交src的漏洞，在漏洞标题中注名“火线”，然后拿截图联系火大表姐兑换

方式2：向火大表姐投稿一片技术文章，包括挖洞姿势、渗透测试、漏洞分析等

方式3：联系火线平台的表哥购买，火线平台邀请码99个查克拉

方式4：前往评论区联系🔥表弟

3."火线～洞态IAST"只支持Linux吗？

Windows也支持的哦，Windows下的使用教程正在赶来的路上，表哥们喝杯咖啡先～

4."火线～洞态IAST"支持Dubbo、微服务吗？

IAST与框架本身无关，理论上只要在节点上都安装agent就可以支持，但是，只有经过充分的测试才可以对外公布，所以，暂时不支持，分布式框架测试的已在排期中，表哥等等弟弟

如果表哥有任何疑问，请前往讨论区联系火表弟，火表弟会及时的给表哥解答疑惑。

五、贡献一波😏

1.贡献Agent的报错信息；

2.贡献不兼容的操作系统、JDK版本、第三方框架/组件；

3.贡献第三方框架的过滤函数；

4.贡献好的想法，请前往讨论区，添加表弟微信进行反馈，表弟帮你实现它💪💪💪

贡献榜

六、讨论区

1.Github issue: https://github.com/hxsecurity/DongTai-Doc/issues

2.微信群：需要邀请码或想进群交流的表哥们，请扫描二维码加🔥表弟的个人微信，表弟会把大家拉进技术交流群