关于SCA-GoatSCA-Goat是一款一款软件组合分析 (SCA) 应用程序,同时它也一个包含大量安全缺陷的SAC应用程序靶场环境。该工具专注于开发代码中使用的易受攻击和被攻陷的 JAR 依赖项,为用户提供亲身实践的学习机会,以了解潜在的攻击场景。摘要:关于SCA-GoatSCA-Goat是一款一款软件组合分析 (SCA) 应用程序,同时它也一个包含大量安全缺陷的SAC应用程序靶场环境。该工具专注于开发代码中使用的易受攻击和被攻陷的 JAR 依赖项,为用户提供亲身实践的学习机会,以了解潜在的攻击场景。
SCA-Goat旨在帮助广大研究人员识别易受攻击的 JAR 文件说可能产生的安全问题和漏洞。
功能介绍SCAGoat 涵盖的 CVE 主要为严重且高危的 CVE,CVSS 评分为 9。除此之外,环境中还会包含存在安全缺陷的软件包,而这些无法被传统的SCA检测工具检测到,也可以帮助进行安全实践:
CVE软件包名链接CVE-2023-42282IPCVE-2017-1000427MarkedCVE-2017-16114Markedmarkedjs/marked#926CVE-2021-44228log4jCVE-2020-9547jackson-databindCVE-2021-33623trim-newlinesCVE-2020-13935spring-websocketMalicious Package (No CVE)xz-java工具安装广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/harekrishnarai/Damn-vulnerable-sca.git然后切换到项目目录中:
cd Damn-vulnerable-sca使用以下docker命令为dockerfile构建镜像并运行该镜像以访问应用程序:
docker compose up访问http://localhost:3000/以使用 nodejs 应用程序,或http://localhost:8080(用于 Springboot 的 log4j)。
工具使用SCA-Goat:
在这里,拓宽网安边界来源:FreeBuf
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
