OpenRASP Java应用自我保护使用

已于 2022-03-20 17:53:53 修改
阅读量9.8k 收藏 4
点赞数
分类专栏: Java 架构设计 文章标签: 安全架构
于 2022-03-20 17:02:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglllle/article/details/123614286
版权

前言

笔者上一章写了编译openrasp-v8的JNI编译过程,实际上是百度开源的OpenRASP的引擎依赖包,简单体验了,基础功能非常不错,只是很多管理功能需要2次开发,体验了以下,分享过程。

1. RASP与WAF

RASP(Runtime application self-protection)运行时应用自我保护,将自身注入到应用程序中,与应用程序松耦合,进行实时监测、阻断攻击。对于JAVA而言,应用本身通过javaagent技术注入agent来实现,原有代码无需修改。

实际上WAF的部分功能与RASP重叠,WAF是专门防御安全方面的,只是侧重点不一样,而且加密或者序列化流只能RASP防御。区别网上都很多了,可以直接网上查阅。本质上RASP就是给应用武装,让应用自身去跟安全风险作战。

2. 安装体验

查阅百度OpenRASP文档:安装部署 - OpenRASP 官方文档 - 开源自适应安全产品 (baidu.com)

目前client仅支持Java、PHP,目前主流开发方式是Java,所以体验Java为例。 

2.1 准备

实际上准备的是server端的数据库,还有client端的数据库示例,所以需要MongoDB、ElasticSearch、MySQL

安装Server端,各个版本要求很明确了,MongoDB就选最新版本,elasticsearch就选5.6

 MySQL是客户端示例需要的,笔者就选5.6,方便测试漏洞。

自己开发直接docker安装,方便:

docker run -itd --name mongod -p 27017:27017 mongo 
docker run --name elasticsearch -d -p 9200:9200 -p 9300:9300 elasticsearch:5.6

docker run --name mysql_5.6 -e MYSQL_ROOT_PASSWORD=123456 -d -i -p 3306:3306  mysql:5.6

运行后

2.2 server安装

server端可以下载直接用,如果需要定制就要2次开发,源码编译,go开发的后端

​​​​​​Index of /app/openrasp/release/latest/ (baidu.com)

笔者macOS下:wget https://packages.baidu.com/app/openrasp/release/latest/rasp-cloud-mac.tar.gz

下载解压后:tar -zxvf rasp-cloud-mac.tar.gz

 然后执行

./rasp-cloud -d

可以看到版本号1.3.7,client的agent也建议对应。 

 日志路径,后管编写系统go,CN地址go很活跃,基本上是世界上最活跃的区域了,一般用来编写后管系统,类似后管前端使用VUE编写差不多。此时可以访问:

http://localhost:8086

其中用户名固定为 openrasp,初始密码为 admin@123。 

仅仅是安装好了server端,实际上是后管平台,不会有任何用途,需要agent注入才能生效

2.3 agent注入 

以Tomcat为例,实际上Springboot原理类似,都是执行注入javaagent参数:javaagent技术原理_fenglllle的博客-CSDN博客_javaagent原理

wget https://packages.baidu.com/app/openrasp/release/latest/rasp-java.tar.gz

 用下面的指令初始化,集成在CI CD平台,实际上是对jvm参数加上--javaagent:

java -jar RaspInstall.jar -heartbeat 90 -appid 62d8c6e81ae21a6f67acc1ac0515011e36b69c75 -appsecret NAa3VwiqVe2u3bCulQex0AriesMn3GgONe931rPUmDO -backendurl http://localhost:8086/ -install /path/to/tomcat

注意:appid和appsecret是server端每次启动生成的,不能使用固定的

这时就获取到一个已经注入javaagent的Tomcat,而示例需要去百度去获取

建议获取vulns.war,示例非常完整,放在tomcat的webapps下,解压

2.4 参数修改

实际上启动Tomcat就可以用了,但是数据库漏洞会报错,因为没有连接数据库。需要修改参数,war包解压后先删除war,然后cd vulns

这2个配置,分别修改为docker的MySQL连接,直接查看OpenRASP可以看到,修改了catalina.sh脚本,注入agent参数

./startup.sh即可启动 ,Tomcat尽量使用老版本,不超过Tomcat8,示例是jsp写的,新Tomcat可能不兼容。

2.5 体验   

访问:OpenRASP 官方测试用例集合

其中SQL注入这些需要提前创建表,安装示例写入即可 

 随意执行几个漏洞,拦截方式是可以修改的,但是没有发现规则修改的地方,管理功能基本上都有,但是不是很贴近实际生产。

插件可下载,但是不能单独每条编辑,NodeJS语法: 官方开发指南:单机版本 - OpenRASP 官方文档 - 开源自适应安全产品 (baidu.com)

  

总结

实际上百度开源的OpenRASP拿来就可以直接用,如果需要定制规则,需要后端定制,还有很多管理功能实际上可以更友好,但是核心功能非常完整,自己需要处理agent带来的的性能影响,出现agent问题怎么办的情况。

fenglllle
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux环境OpenRASP使用教程,OpenRASP技术分析
weixin_35911805的博客
05-07 1058
阅读:11,455Open­RASP 将新兴的RASP(Run­time Ap­pli­ca­tion Self-Pro­tec­tion)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。本文主要针对OpenRASP进行原理介绍和应用OpenRASP介绍百度云分析团队开源的自适应安全产品https://rasp.baidu.com/...
linux环境OpenRASP使用教程,集成openRASP与攻击测试
weixin_33128371的博客
05-07 1324
1.介绍openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。2.集成openRASP到项目中openRASP针对不同的服务器,提供了不同的安装方法,但是基本上都大同小异,本文以SpringBoot为例,springboot又可以打成jar包或者war包,本项目使用jar包部署,演示如何将openRASP集...
OpenRASP v1.0 正式版发布 | 数据库异常监控与WebLogic支持如约而至
weixin_33895516的博客
04-23 139
开发四年只会写业务代码,分布式高并发都不会还做程序员? OpenRASP于2017年4月立项,其初衷是为了提供一套通用...
推荐开源项目:OpenRASP - 应用服务器内置的实时防护系统
最新发布
gitblog_00077的博客
05-12 406
推荐开源项目:OpenRASP - 应用服务器内置的实时防护系统 项目地址:https://gitcode.com/baidu/openrasp 1、项目介绍 OpenRASP(Open Reconnaissance Attack Security Platform)是百度开源的一款应用级防护系统,不同于传统的Web应用程序防火墙(WAF),它通过直接在应用服务器中进行代码级别的集成,对关键功能调...
openrasp-v8 Java macOS环境编译
fenglllle的博客
03-17 1206
前言 openrasp是百度开源的主动式防御插件,与业务松耦合,在Java语言是使用javaagent的方式注入的,笔者前几章讲过javaagent的实现原理,笔者在使用openrasp的时候,发现openrasp-v8是快照版,并且依赖JNI实现,需要对不同的硬件与操作系统编译特定的函数库。 1. 准备 cmake指令 macOS推荐brew安装,非常方便:brew install cmake mvn指令 maven管理,配置maven的path即可,开发人员常识。 git指令 Git
互联网开源的自适应安全产品OpenRASP 客户端使用基础
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
08-01 2290
1 介质下载 rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。 2 Java客户端安装 支持自动安装,进入 rasp 所在目录,执行安装命令即可: java -jar RaspInstall.jar -install <tomcat_root> 3 拦截启用 官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的...
openrasp-v8 包
05-31
OpenRASP(Runtime Application Self-Protection)是一种基于Java的运行时应用程序自我保护框架,旨在帮助开发者检测并防御Web应用中的常见安全漏洞。OpenRASP-v8包是为了简化OpenRASP的二次开发流程,特别是针对v8...
openrasp::fire:开源RASP解决方案
02-05
与WAF之类的外围控制解决方案不同,OpenRASP通过检测将其保护引擎直接集成到应用服务器中。 它可以监视各种事件,包括数据库查询,文件操作和网络请求等。 发生攻击时,WAF会将恶意请求与其签名进行匹配并将其阻止...
OpenRASP开源的RASP解决方案
08-08
RASP 以探针的形式,将保护引擎注入到应用服务中,可在文件、数据库、网络等多个层面,对应用进行全面的保护。当发生敏感的行为时,可以结合请求上下文进行的判断,并阻断攻击,具有低误报率,低漏报率的优点
OpenRASP学习笔记 .pdf
09-05
OpenRASP,全称是Baidu Open RASP (Runtime Application Self-Protection),是一种基于Java的运行时应用程序自我保护技术。它的主要目标是提供一种内嵌式的安全防护机制,用于实时检测和防御应用程序中的安全漏洞。...
OpenRasp源码分析-java功能
LoopherBear的博客
04-23 2010
OpenRasp源码分析-java功能 最近在做关于后台服务器和web的rasp这块工作,需要在OpenRasp的基础上做一个二次研发,为了能弄清其实现的技术细节,阅读了一下源码。记录的内容主要有以下几个点 RaspIntall.jar的功能 启动执行流程 核心原理 检测规则 其他 整个OpenRasp的基本就是上述几个过程。其中重点关注的是启动执行流程,核心原理,检测规则三个点,下面就一个个的...
OpenRASP安装使用教程
weixin_33693070的博客
11-24 1775
一、说明 1.1 RASP和WAF的区别 WAF,Web Application Firewall,应用防火墙。其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包。正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去的人在里面干什么他就不知道了。 RASP,Runtime application self-prot...
action请求_同盾技术 | OpenRASP Java源码分析与总结(二)Web请求、基于语法分析的SQL和安全基线检测...
weixin_39534321的博客
11-20 161
引子通过《OpenRASP Java源码分析与总结(一)——启动与检测》的分析,我们对OpenRASP Java部分的整体启动和检测流程有了大致的了解。本文将对OpenRASP所支持的js插件、安全基线等几类检测方式中,选取几个比较有代表性的检测进行详细分析。准备1agent Java代码包结构/+ |-boot // rasp.jar代码所在目录 | +-engine+ // rasp...
Openrasp百度开源代码分析
HY1273383167的博客
05-27 695
Openrasp是百度关于rasp技术的开源项目,由于工作需要,之前对rasp的源码进行了简单的分析。文章是之前就写好的,现在放出了,希望对大家有写帮助。 OpenRASPjava引擎的源码分析 安装包解压后目录结构如下: RaspInstall.jar是OpenRASPjava引擎的安装(卸载)运行文件,在终端中执行以下命令进行安装(以tomcat为例): java -jar RaspInstall.jar -install <tomcat_root> 值得注意的是:&lt.
rasp java tomcat_利用OpenRASP构建WAF
weixin_33894886的博客
02-27 206
该项目现在只支持PHP和JAVA项目OpenRASP安装:环境设置:yum install -y vim wget net-tools epel-release java-1.8.0-openjdk*systemctl stop firewalld.servicesystemctl disable firewalld.service安装并配置tomcat:解压压缩包:tar -zxvf?apach...
利用OpenRASP构建WAF
wj193165zl的博客
07-31 483
该项目现在只支持PHP和JAVA项目 OpenRASP安装: 环境设置: yum install -y vim wget net-tools epel-release java-1.8.0-openjdk* systemctl stop firewalld.service systemctl disable firewalld.service 安装并配置tomcat: cd /us...
openRASP安装教程
weixin_50339832的博客
06-03 1382
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 ElaticSearch安装 因为版本要求在[5.6, 7.0) 我们这里安装6.5.4版本。 docker p
linux环境OpenRASP使用教程
11-02
以下是在Linux环境下使用OpenRASP的教程: 1. 首先,从官网下载OpenRASP的Linux版本:https://rasp.baidu.com/doc/install/software.html#linux 2. 解压下载的文件:tar -xvf rasp-php-linux.tar.bz2 3. 进入解压后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值