Skip to content

keven1z/simpleIAST

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

91 Commits
.github/workflows
.github/workflows
 
 
.vscode
.vscode
 
 
agent
agent
 
 
benchmark
benchmark
 
 
docker
docker
 
 
docs
docs
 
 
engine
engine
 
 
img
img
 
 
target
target
 
 
.gitignore
.gitignore
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
README_EN.md
README_EN.md
 
 
pom.xml
pom.xml
 
 

Repository files navigation

simpleIAST

Release License

简体中文 / English

基于污点追踪的灰盒漏洞扫描工具,实时识别并展示 Java Web 应用中的常见安全漏洞。

简介

simpleIAST 是一款基于 Java Agent 的灰盒漏洞扫描工具,利用污点追踪技术在应用运行时检测 Java Web 应用中的安全风险,包括但不限于 SQL 注入、反序列化漏洞、XSS 和 XXE 等常见漏洞。工具轻量易集成,兼容主流中间件与 JDK 版本,适合 DevSecOps 场景使用。

快速开始

克隆项目

git clone https://github.com/keven1z/simpleIAST.git
cd simpleIAST

使用 Docker 启动

cd docker/
chmod +x ./deploy.sh
sudo ./deploy.sh
  • 前端访问地址http://[your_ip]:8443/
  • 默认登录:用户名 admin,密码 123456
  • 前端端口:8443,后端端口:81

Agent 启动方式

1. 随应用启动注入

java -javaagent:iast-agent.jar -jar [app.jar]

2. 应用启动后以 attach 方式注入

java -jar iast-engine.jar -m install -p [pid]   # 安装 Agent  
java -jar iast-engine.jar -m uninstall -p [pid] # 卸载 Agent

请确保 iast-agent.jariast-engine.jar 位于同一目录。

特性与兼容性

支持中间件

  • Tomcat
  • Spring Boot
  • Jetty
  • Weblogic
  • GlassFish
  • WildFly
  • TongWeb
  • Resin
  • Undertow

支持 JDK 版本

  • JDK 1.8
  • JDK 11

检测漏洞类型(含严重等级)

序号 漏洞类型 严重程度
1 SQL 注入 高危
2 反序列化漏洞 严重
3 SSRF(服务端请求伪造) 中危
4 URL 跳转漏洞 中危
5 XXE(XML 外部实体注入) 高危
6 命令注入 严重
7 文件上传漏洞 中危
8 XSS(跨站脚本攻击) 中危
9 Spring EL 表达式注入 高危
10 数据库弱口令 中危
11 XPATH 注入 高危
12 硬编码漏洞 中危
13 Fastjson 反序列化漏洞 严重

benchmark

benchmark说明文档

进一步文档

更多使用指南与文档内容请访问项目 Wiki:

许可

本项目采用 Apache License 2.0 协议,详见 LICENSE 文件。

About

simpleIAST- 基于污点追踪的灰盒漏洞扫描工具。

Topics

java agent security-audit security-tools iast

Resources

Readme

License

Apache-2.0 license
Activity

Stars

98 stars

Watchers

2 watching

Forks

10 forks
Report repository

Releases 4

0.4.0.dev Latest
Sep 1, 2025
+ 3 releases

Packages

No packages published

Languages