OpenRASP漏洞测试环境搭建及使用指南

最新推荐文章于 2024-08-16 08:01:51 发布
最新推荐文章于 2024-08-16 08:01:51 发布
阅读量584 收藏 13
点赞数 23
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00785/article/details/141237307
版权

OpenRASP漏洞测试环境搭建及使用指南

openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases

1. 项目介绍

OpenRASP(Runtime Application Self-Protection)是由百度安全团队开发的一款运行时应用程序自我保护引擎,它旨在帮助开发者检测并防御常见的Web应用安全漏洞。openrasp-testcases 是一套用于测试OpenRASP或类似IAST(Interactive Application Security Testing)工具的漏洞测试环境,涵盖了多种高危漏洞的测试用例。

2. 项目快速启动

2.1 PHP 版本

  1. 克隆或下载 php-vulns.tar.gz 到本地。

  2. 解压缩文件到你的Web根目录:

    $ cd /path/to/webroot
$ tar xzf ~/Downloads/php-vulns.tar.gz

  3. 访问解压后的目录,例如 http://yourserver/php-vulns/ 来检查是否成功部署。

2.2 Java 版本

  1. .war 文件复制到Tomcat的 webapps 目录下:

    $ cp ~/Downloads/vulns.war /path/to/tomcat/webapps/

  2. 等待Tomcat自动解压WAR包或重启Tomcat服务,然后通过浏览器访问 http://yourserver/vulns/ 来检查部署情况。

3. 应用案例和最佳实践

  • 在新项目中集成OpenRASP:利用提供的测试用例,在开发初期即对应用进行安全扫描,预防安全风险。
  • 漏洞修复验证:在修复了某个安全漏洞后,使用相应的测试用例来确认漏洞已得到妥善解决。
  • 定期扫描:定期运行测试用例,监控系统的安全状态,及时发现新的安全漏洞。

最佳实践:

  1. 模拟真实攻击场景测试,例如使用自动化安全扫描工具sqlmap进行SQL注入测试。
  2. 结合日志分析,当OpenRASP产生报警时,查看 <rasp_home>/logs/plugin/plugin.log 日志进行详细排查。
  3. 开启行为日志,优化防护策略,针对性地调整配置以提升防护效率。

4. 典型生态项目

  • OpenRASP:主项目,提供Agent及服务器端核心组件。
  • RASP SDK:开放的接口库,便于开发者自定义扩展防护逻辑。
  • OpenRASP Plugin Community:社区维护的各种插件,增强了OpenRASP的功能性。
  • IAST Tools:可与OpenRASP兼容的交互式应用安全测试工具,如RASPify等。

通过这些生态项目,OpenRASP不仅是一个单独的安全解决方案,还构建了一个完整的安全检测和防御生态系统。

本文档提供了基本的OpenRASP测试环境搭建步骤及应用场景指导,更多详细的项目信息和技术细节,请参考项目仓库中的README和其他文档。

openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases

田慧娉
关注
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1583
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
web渗透--66--基于Springboot的Docker部署OpenRASP-IAST
武天旭的博客
01-15 1636
线上部署,部署在测试环境 前话 1、rasp新版本(1.3.0之后)因为官方将IAST控制台与cloud控制台合并,从而导致新控制台下无法实现自动开启扫描(官方放弃该功能就是因为新控制台下无法实现)。 2、rasp新版本(1.3.0之后)新增的功能类库信息扫描是一个非常有价值的功能,这个功能在老版本中没有。
OpenRASP 安装与使用教程
gitblog_00584的博客
08-07 437
OpenRASP 安装与使用教程 openrasp????Open source RASP solution项目地址:https://gitcode.com/gh_mirrors/op/openrasp 1. 项目目录结构及介绍 OpenRASP 的目录结构如下: OpenRASP/ │ ├── bin # 包含启动脚本和其他可执行文件 │ ├── conf ...
jboss安装 - openRASP项目部署
roukmanx的博客
01-20 351
本次对jboss安装以及项目部署到最后链接openRASP的过程做个简单的记录 jboss安装流程: 1、下载 jboss: 下载https://download.jboss.org/jbossas/7.1/jboss-as-7.1.1.Final/jboss-as-7.1.1.Final.zip 到E盘 2、在E盘解压 E:\jboss-as-7.1.1.Final 注意不要有空格 3、配置环境...
OpenRASP 初探(二)之项目部署
sacredbook的博客
04-06 3440
一、软件兼容性(openrasp 目前支持 java 和 php) 管理后台:操作系统兼容 Linux (CentOS 6+ / Ubuntu 14.04 + / 其他不要太老的系统)和 Mac OS X JAVA agent : -操作系统:MacOS 10.10+、Windows x64、Linux(RHEL/CentOS 6.X ~ 7.X/Ubuntu 14+/Debian 6+/其他 g...
openRASP安装教程
weixin_50339832的博客
06-03 1430
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 ElaticSearch安装 因为版本要求在[5.6, 7.0) 我们这里安装6.5.4版本。 docker p
OpenRASP管理后台安装
weixin_36898373的博客
04-16 773
什么是OpenRASP? 用官方文档的一段话解释: OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 好吧,官方毕竟是官方,说的感觉不够直白,简单来说就是一个具有服务器安全检测以及恶意攻击拦截的工具,用这个工具我们可以针对自己 线上的服务器(tomc
linux环境OpenRASP使用教程,集成openRASP与攻击测试
weixin_33128371的博客
05-07 1364
1.介绍openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。2.集成openRASP到项目中openRASP针对不同的服务器,提供了不同的安装方法,但是基本上都大同小异,本文以SpringBoot为例,springboot又可以打成jar包或者war包,本项目使用jar包部署,演示如何将openRASP集...
OpenRASP_漏洞测试环境_openrasp-testcases.zip
最新发布
08-27
OpenRASP_漏洞测试环境_openrasp-testcases
linux环境OpenRASP使用教程,OpenRASP技术分析
weixin_35911805的博客
05-07 1111
阅读:11,455Open­RASP 将新兴的RASP(Run­time Ap­pli­ca­tion Self-Pro­tec­tion)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。本文主要针对OpenRASP进行原理介绍和应用。OpenRASP介绍百度云分析团队开源的自适应安全产品https://rasp.baidu.com/...
openrasp-v8 包
05-31
- **配置编译环境**: 使用CMake根据OpenRASP的项目结构配置编译选项,指定JDK路径、V8库路径等。 - **编译OpenRASP-v8**: 使用CMake生成Makefile,然后执行`make`命令进行编译。 - **测试与打包**: 编译完成后,进行...
Ubuntu安装OpenRasp后台管理
weixin_43876438的博客
11-11 3234
Ubuntu安装OpenRasp后台管理 安装JDK 进入JDK官网,选择JDK8的版本,根据自己虚拟机的架构(查看内核命令:uname -a),下载后缀名为*.tar.gz*的文件 将下载完的压缩包放在自己的目录下:mv /home/gs/下载/jdk-8u311-linux-x64.tar.gz /etc/local/gs/java/。然后进入该文件夹,解压jdk:tar -zxvf jdk-8u311-linux-x64.tar.gz 配置环境变量:vim /etc/profile
【网络安全】OpenRASP xss算法的几种绕过方法
baidu_41678158的博客
01-02 924
openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或内部,openrasp几乎检测不到。
深入剖析12大WEB安全漏洞与PAS防范措施
weixin_59191169的博客
07-03 341
可以用一种通用方式,对JDK的ObjectInputStream的类进行字节码改造,增加可以攻击的反序列化类的黑名单,在反序列化过程中,读取反序列化类名,对存在于黑名单中的类进行拦截,杜绝反序列化攻击。java的反序列漏洞在于用户通过远程RMI、JMX或HTTP调用服务端的时候,用到了ObjectInputStream类的readObject方法,调用在传参数的时候,在参数的payload中注入了恶意的执行代码,导致参数在反序列化的时候,执行代码被执行,从而在目标机器上执行任意命令。
OpenRASP 测试用例项目教程
gitblog_00709的博客
08-16 348
OpenRASP 测试用例项目教程 openrasp-testcasesOpenRASP 漏洞测试环境项目地址:https://gitcode.com/gh_mirrors/op/openrasp-testcases 1. 项目的目录结构及介绍 OpenRASP 测试用例项目的目录结构如下: openrasp-testcases/ ├── README.md ├── php-vulns.tar....
OpenRASP 初探(一)之项目介绍
sacredbook的博客
03-05 5805
前言 在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。 后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。 公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括wa...
主流安全工具简介
qq_25409421的博客
03-31 1390
在上一节中详细介绍了SAST、DAST、IAST和RASP等技术的基本原理、优缺点及使用场景。本节将从每一种技术中,挑选若干业界知名的安全产品,从产品的架构、使用、性能等重要参数来介绍,以帮助大家更深入地了解这些产品,也供工具选型时参考。主要介绍的工具有Fortify、Checkmarx、AWVS、Nessus、OpenRASP、DongTai、WAF等
linux环境OpenRASP使用教程
11-02
以下是在Linux环境下使用OpenRASP的教程: 1. 首先,从官网下载OpenRASP的Linux版本:https://rasp.baidu.com/doc/install/software.html#linux 2. 解压下载的文件:tar -xvf rasp-php-linux.tar.bz2 3. 进入解压后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田慧娉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值