元旦三天,利用了一点时间简单试了试。
RASP
RASP 是运行时应用的自我保护,Gartner在2014年应用安全报告中将其列为应用安全领域的关键趋势。
OpenRASP
openRASP 是百度开源的一款免费、开源的应用运行时自我保护产品
工作原理也就是RASP,将防护引擎嵌入到应用内部,不依赖于外部防护设备。
具体的介绍可以参考百度OpenRASP
本人这方面小白一个,不过看着OpenRASP感觉很厉害的样子,于是打算简单部署一个自己乐呵一下。
环境准备
我本地已经装了Ubuntu的vmware虚拟机,所以打算在Ubuntu上进行尝试。
之前在Ubuntu上已经装过java jdk了,不过家里用的少,java -version出错。
今天重新装一下。
这次没直接从官网上下载,运行了命令尝试看看:
sudo apt-get install openjdk-8-jre-headless
java -version发现没有啥问题,所以没有重新下载了。
安装Tomcat
选择尝试的服务器Tomcat,首先从官网下载:Tomcat官网
我选择的是9.0.14:
apache-tomcat-9.0.14.tar.gz
解压后,将文件夹更名为Tomcat,以后这将会是工作目录。
进入tomcat/bin: 对start.up进行编辑:
#set java environment
export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-amd64
export JRE_HOME=${JAVA_HOME}/jre
#因为我在java的目录下没发现lib 所以我修改了一下
#export CLASSPATH=.:%{JAVA_HOME}/lib:%{JRE_HOME}/lib
export CLASSPATH=.:%{JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
#tomcat
export TOMCAT_HOME=/home/jopin/tomcat/tomcat
(下面是原文件最后一行内容,以上是添加的)
exec "$PRGDIR"/"$EXECUTABLE" start "$@"
保存后,运行./startup.sh 没有出现错误,成功。如图:
访问界面如下
OpenRASP安装
安装官网说明下载 jar包后运行:
java -jar RaspInstall.jar -install <tomcat_root>
重启Tomcat, 依次运行脚步即可
tomcat/bin/shutdown.sh --> tomcat/bin/startup.sh
在Ubuntu上简单验证是否成功:
curl -v 127.0.0.1:8080 | grep X-Pr
出现如下字段,表示成功部署。
< HTTP/1.1 200
< X-Protected-By: OpenRASP
< X-Request-ID: 85cba5c8ff794a96929ae02c53426358
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Mon, 31 Dec 2018 15:02:21 GMT
简单测试
从GITHUB上选择测试用例下载,OpenRASP官网上有链接。
这里选择了fastjson.war下载,下载后cp到tomcat目录下 webapps下面(如果startup.sh已经运行了)则应该会自动生成一个fastjson的文件夹
运行xxxx:8080/fastjson
界面会有提示测试连接
点击运行后,就会产生如下小恐龙:
至此,简单做了一次安装和测试。
下来有时间再深入学习。
参考了:
http://tomcat.apache.org/
http://blog.nsfocus.net/rasp-tech/
https://rasp.baidu.com/
https://www.linuxidc.com/Linux/2017-06/144809.htm