OpenRASP 测试用例项目教程

于 2024-08-16 08:01:51 发布
阅读量348 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00709/article/details/141238472
版权

OpenRASP 测试用例项目教程

openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases

1. 项目的目录结构及介绍

OpenRASP 测试用例项目的目录结构如下:

openrasp-testcases/
├── README.md
├── php-vulns.tar.gz
├── vulns.war
├── S2-016.war
├── fastjson.war
├── fastjson-1.2.60.war
├── wxpay-xxe.war
├── CVE-2019-10173.war
├── CVE-2019-12384.war
└── ...

目录结构介绍

  • README.md: 项目说明文件,包含项目的基本信息和使用说明。
  • php-vulns.tar.gz: PHP 版本的测试用例,包含多种高危漏洞。
  • vulns.war: Java 版本的主要测试用例,包含多种高危漏洞。
  • S2-016.war: 针对 Struts S2-016 漏洞的测试用例。
  • fastjson.war: 针对 fastjson RCE 漏洞的测试用例。
  • fastjson-1.2.60.war: 针对 fastjson 1.2.60 RCE 漏洞的测试用例。
  • wxpay-xxe.war: 针对某支付系统 XXE 漏洞的测试用例。
  • CVE-2019-10173.war: 针对 xstream 反序列化漏洞的测试用例。
  • CVE-2019-12384.war: 针对 jackson-databind 反序列化漏洞的测试用例。

2. 项目的启动文件介绍

PHP 版本

  • php-vulns.tar.gz: 解压到 web 目录后,通过浏览器访问相应的 URL 即可启动测试用例。

Java 版本

  • vulns.war, S2-016.war, fastjson.war, fastjson-1.2.60.war, wxpay-xxe.war, CVE-2019-10173.war, CVE-2019-12384.war: 复制到 webapps 目录后,等待一段时间或重启 web 服务器后,通过浏览器访问相应的 URL 即可启动测试用例。

3. 项目的配置文件介绍

PHP 版本

PHP 版本的测试用例不需要额外的配置文件,解压后即可使用。

Java 版本

Java 版本的测试用例也不需要额外的配置文件,复制到 webapps 目录后即可使用。如果 web 服务器未开启 war 包自动解压缩功能,可能需要重启 web 服务器生效。

以上是 OpenRASP 测试用例项目的详细教程,希望对您有所帮助。

openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases

苏鹃咪Healthy
关注
硬件测试用例参考(二)
07-13
硬件测试用例参考(二) 本文档旨在为手机硬件测试提供参考用例,涵盖 LCD 显示、背光及键盘背光、触摸屏承重能力、Camera、Receiver、Microphone、Speaker 和振子功能等多个方面的测试。 LCD 显示测试 LCD 显示...
编写测试需求及测试用例
03-23
测试用例的模版其实没有太多的差异,而在我刚开始接触测试时总想找一个好的测试用例模版。通常来说,测试用例模版包括最主要的三项:操作说明,预期结果和否通过。有了这三  测试用例的模版其实没有太多的差异,而...
OpenRASP Java应用自我保护使用
fenglllle的博客
03-20 9876
前言 笔者上一章写了编译openrasp-v8的JNI编译过程,实际上是百度开源的OpenRASP的引擎依赖包,简单体验了,基础功能非常不错,只是很多管理功能需要2次开发,体验了以下,分享过程。 1. RASP与WAF RASP(Runtime application self-protection)运行时应用自我保护,将自身注入到应用程序中,与应用程序松耦合,进行实时监测、阻断攻击。对于JAVA而言,应用本身通过javaagent技术注入agent来实现,原有代码无需修改。 实际上WAF的部分功能
OpenRASP漏洞测试环境搭建及使用指南
gitblog_00785的博客
08-16 584
OpenRASP漏洞测试环境搭建及使用指南 openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases 1. 项目介绍 OpenRASP(Runtime Application Self-Protection)是由百度安全团队开发的一款运行时应用程序自我保护引擎,它旨在帮助开...
深入剖析12大WEB安全漏洞与PAS防范措施
weixin_59191169的博客
07-03 341
可以用一种通用方式,对JDK的ObjectInputStream的类进行字节码改造,增加可以攻击的反序列化类的黑名单,在反序列化过程中,读取反序列化类名,对存在于黑名单中的类进行拦截,杜绝反序列化攻击。java的反序列漏洞在于用户通过远程RMI、JMX或HTTP调用服务端的时候,用到了ObjectInputStream类的readObject方法,调用在传参数的时候,在参数的payload中注入了恶意的执行代码,导致参数在反序列化的时候,执行代码被执行,从而在目标机器上执行任意命令。
【Web安全】XXE漏洞
zkaqlaoniao的博客
11-24 466
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
【网络安全】OpenRASP xss算法的几种绕过方法
baidu_41678158的博客
01-02 924
openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或内部,openrasp几乎检测不到。
OpenRASP 初探(一)之项目介绍
sacredbook的博客
03-05 5805
前言 在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。 后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。 公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括wa...
软件测试与项目管理测试用例-二手图书购买系统.xlsx
06-05
软件测试与项目管理测试用例-二手图书购买系统.xlsx 计算机专业,软件工程专业,通信工程大学生课程设计 自己大三的时候写的 适合大家做课程设计,写毕业设计也可以参考 软件测试的课程设计
Excel模板软件测试用例.zip
06-16
测试团队可以根据项目的具体需求调整模板,添加更多的自定义字段,例如风险等级、依赖项等。 为了充分利用这个模板,测试团队应遵循良好的实践: - **明确性**:确保每个测试步骤和预期结果都足够明确,避免歧义。 ...
软件测试用例模版.xls
05-26
软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件测试用例模版【仅供参考】软件...
OpenRASP 初探(三)之 IAST
sacredbook的博客
06-06 3012
前言 Openrasp 初探系列最后一篇,前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署,感兴趣可以移步:OpenRASP 初探(一)之项目介绍、OpenRASP 初探(二)之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。 (2020.5.4 京东通州大运河畔) 一、IAST 简介 其实在第一篇中也介绍过 iast 的一些技术背景,这里再作下补充,以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起
面向多场景应用的光网络通感一体化架构和关键技术方案研究.pdf
09-28
面向多场景应用的光网络通感一体化架构和关键技术方案研究
基于Vue框架的Digital Twin开发设计源码
09-28
项目是基于Vue框架的Digital Twin开发设计源码,由38个文件组成,涉及TypeScript、JavaScript、Vue、CSS、HTML等多种编程语言,包括9个TypeScript文件、6个JavaScript文件、5个JSON文件、5个Vue文件、3个SVG文件、2个Markdown文件、2个WebAssembly文件、1个Git忽略文件、1个HTML文件和1个CSS文件。该源码旨在提供大学生在线学术交流的平台,助力学术创新与协作。
基于Java和C++技术的易涂鸦设计源码
最新发布
09-28
项目是一款基于Java和C++技术的易涂鸦设计平台源码,包含487个文件,其中Java源文件226个,PNG图片文件135个,XML配置文件88个,其他类型文件包括brush文件7个,gradle文件4个,jpg文件4个,gitignore文件3个,properties文件3个,md文件2个,txt文件2个。该平台专注于涂鸦功能,为用户提供便捷的设计与绘图体验。
基于HTML/CSS/JavaScript的多人在线知识交流平台博客项目设计源码
09-28
项目是一款基于HTML、CSS和JavaScript的多人在线知识交流平台博客,设计源码包含451个文件,其中包括149个Java文件、89个JavaScript文件、60个CSS文件、42个Class文件、23个PNG图片文件、20个XML文件、17个HTML文件、12个JPG文件、6个JSON文件、5个Map文件,旨在为用户提供一个互动的知识分享与交流空间。
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
09-28
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
ATM模拟器测试用例编写教程
"本文档是一个逐步指导如何编写测试用例教程,使用ATM取款机模拟器作为示例应用。作者FastPoint旨在帮助初级测试人员理解测试用例的编写过程。教程通过模拟实际操作ATM机的各种场景,展示了从插入卡片、输入密码到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏鹃咪Healthy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值