关于SCA-Goat
SCA-Goat是一款一款软件组合分析 (SCA) 应用程序,同时它也一个包含大量安全缺陷的SAC应用程序靶场环境。该工具专注于开发代码中使用的易受攻击和被攻陷的 JAR 依赖项,为用户提供亲身实践的学习机会,以了解潜在的攻击场景。
SCA-Goat旨在帮助广大研究人员识别易受攻击的 JAR 文件说可能产生的安全问题和漏洞。
功能介绍
SCAGoat 涵盖的 CVE 主要为严重且高危的 CVE,CVSS 评分为 9。除此之外,环境中还会包含存在安全缺陷的软件包,而这些无法被传统的SCA检测工具检测到,也可以帮助进行安全实践:
|
CVE |
软件包名 |
链接 |
|
CVE-2023-42282 |
IP |
|
|
CVE-2017-1000427 |
Marked |
|
|
CVE-2017-16114 |
Marked |
|
|
CVE-2021-44228 |
log4j |
|
|
CVE-2020-9547 |
jackson-databind |
|
|
CVE-2021-33623 |
trim-newlines |
|
|
CVE-2020-13935 |
spring-websocket |
|
|
Malicious Package (No CVE) |
xz-java |
https://central.sonatype.com/artifact/io.github.xz-java/xz-java |
工具安装
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/harekrishnarai/Damn-vulnerable-sca.git
然后切换到项目目录中:
cd Damn-vulnerable-sca
使用以下docker命令为dockerfile构建镜像并运行该镜像以访问应用程序:
docker compose up
访问http://localhost:3000/以使用 nodejs 应用程序,或http://localhost:8080(用于 Springboot 的 log4j)。
工具使用
工具运行演示
|
演示视频 |
CVE |
|
CVE-2023-42282 |
|
|
CVE-2017-16114 |
|
|
CVE-2021-44228 |
|
|
CVE-2020-9547 |
|
|
XZ-JAVA 被入侵 |
项目地址
SCA-Goat:【GitHub传送门】
参考资料
https://docs.google.com/document/d/1hJxweaRQsC3XH7t36UwOGBPbyZWX1ZjLtmOoJAI0nIc/edit?usp=sharing
https://drive.google.com/file/d/1u3pfSI2_t3MOXDtwAiJXOM4Ekdxd5v8H/view?usp=sharing
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
