IAST测试靶场搭建

0x00 前言

测试用例的选择尽量贴近真实业务使用的场景，覆盖常见的高危漏洞，以及各类请求形式。用于测试IAST产品支持检测漏洞类型、检出率、脏数据插入等等

OpenRASP 上线一周了，运行很稳定，拉了几个PHP和Java做测试，没有收到业务方的异常反馈，除了我测试的报警外，只发现一些基线的报警，找运维都处理了。

随着运营时间，后续安全基线问题不应该存在了，重点关注一下攻击事件，系统设置中有报警推送功能，有邮件报警、HTTP报警推送、钉钉集成、syslog报警

上周一台web服务器部署单机版OpenRASP之后感觉还不错，想在公司内部推广一下，准备在一些后台系统的服务器上安装agent，单机版部署报警日志查看不是很方便，遂部署管理后台方便管理

by 青衫磊落

某日下午正在美滋滋的把玩蚁剑，兄弟说站被入侵了，扫出了好几个后门，顿时来了兴趣。

某web应用一直被黑，加上是零几年的网站代码没人维护，于是从某云开个服务器放上去了，然后再部署一个防护软件，想装个安全狗的，听大佬说存在数据回传，之前关注了百度开源的OpenRASP项目，先在测试环境试一下