OpenRASP 初探(一)之项目介绍

最新推荐文章于 2024-05-12 09:33:32 发布
最新推荐文章于 2024-05-12 09:33:32 发布
阅读量5.7k 收藏 13
点赞数 1
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sacredbook/article/details/104684890
版权

前言

在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。

后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。

公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括waf策略等防护手段更多针对python和go语言的特性做一些防护规则的配置,其他的技术栈关注较少。但使用较少不代表没有,前段时间经过对业务的排查梳理,意外发现支付业务等一系列应用其实还是使用了java技术栈,而恰恰这块安全的防护较为薄弱。此时恰好了解到openrasp项目,便由此想调研下这个项目是否适合公司的环境,也正好可以弥补java安全的短板。

一、项目背景

下面的内容呢大部分来自Openrasp的官网,了解一个项目最好的途径,莫过于看它的官方手册和指南。
详细内容大家可以直接访问官网,我这里只挑出一些重要的信息,帮大家快速了解。

OpenRASP 官网:https://rasp.baidu.com/
项目文档:https://rasp.baidu.com/doc/

OASES(Open AI System Security Alliance)智能终端安全生态联盟是国内首个致力于提升智能终端生态安全的联合组织,由百度、华为、中国信通院联合发起成立,成员包括安全厂商、行业安全专家、设备厂商、⾼校和各行业安全专家等。OASES 目前包含 KARMA、OASP、OpenRASP、MesaLink、MesaLock Linux 等几个子项目。其中,OpenRASP 主要应⽤于云端应用安全防护,以及上线前的应用安全测试。Gartner 在2014年提出了「 运行时应用自我保护」技术的概念,即对应⽤服务的保护,不应该依赖于外部系统;应⽤应该具备自我保护的能⼒。OpenRASP 是该技术的开源实现,它改变了防⽕墙依赖请求特征来拦截攻击的模式。以注入类的漏洞举例,Openrasp 可以识别用户输入的部分,并检查程序逻辑是否被修改。由于不依赖请求特征,确保每条告警都是有效的。

License:目前 OpenRASP 是开源项目,项目 license 是 Apache License 2.0,相对较为宽松。

目前项目主要由百度安全团队维护。

二、支持功能

1)web攻击检测:包含sql注入、命令注入、xss、敏感文件下载、任意文件读取、xxe、反序列化(fastjson等)、Struts OGNL 代码执行、ssrf、敏感日志打印等。另外还集成了一些 CVE 的检测。

2)服务器安全基线检查:关键 Cookie 是否开启 HttpOnly(Tomcat)、进程启动账号检查、后台密强度检查(Tomcat)、不安全的默认应用检查(Tomcat)、Directory Listing 检查(Tomcat)、数据库连接账号审计 (jdbc) 备注:基线检查会在应用服务启动时进行检查,可设置不符合检查项禁止启动。

3)应用加固:当应用收到请求,我们会通过输出响应头的方式,实现对应用的加固。
在这里插入图片描述4)openrasp-iast 灰盒扫描:openrasp-iast 作为 openrasp 的一个插件集成到 openrasp 中,采用被动扫描的方式,java 探针在请求结束后会将本次请求参数、hook 点信息提交给服务端进行分析并选择性的 fuzz 目标。openrasp 会根据 hook 点信息精确检测漏洞。

三、RASP 技术原理

在 Java 技术栈下,RASP 引擎以 javaagent 的形式实现,并运⾏在 JVM 之上。在应⽤服务器启动的时候,RASP 引擎借助 JVM 自身提供的 instrumentation 技术,通过替换字节码的方式对关键类⽅法进行挂钩。RASP 的技术原理与 APM 是一样的,只是挂钩的函数要少很多。以 OpenRASP 为例,我们挂钩了 SQL 查询、文件读写、反序列化对象、命令执⾏等关键操作,具体列表可参考:Hook 函数表
在这里插入图片描述

四、openrasp-iast 技术原理

IAST(交互式扫描)技术是一种实时动态交互的漏洞检测技术,通过在服务端部署 agent 程序,收集、监控 Web 应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞。目前 OpenRASP 项目已实现相当于 IAST agent端的 OpenRASP agent,在此基础上引入一个扫描端,即可实现一个完整的 IAST 扫描工具。

灰盒扫描工具采用 Python3 实现,数据库采用 MySQL,通讯采用 HTTP+JSON 的方式。整体架构图如下:
在这里插入图片描述工具分为扫描器端和 agent 端,Agent 端用于收集 web 应用的运行信息,扫描器端用于处理插件产生的请求信息,并完成整个 IAST 扫描逻辑。

五、部署方式/架构

目前 openRASP 支持单机部署和大规模部署(支持容器化部署)。部署架构可参见下图,在每个应用节点需安装 agent,管理后台负责策略下发和节点的集中管理。

在这里插入图片描述参考链接:1. 大规模(容器)部署
2. agent工作机制流程

黑锅侠
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux环境OpenRASP使用教程,OpenRASP技术分析
weixin_35911805的博客
05-07 1059
阅读:11,455Open­RASP 将新兴的RASP(Run­time Ap­pli­ca­tion Self-Pro­tec­tion)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。本文主要针对OpenRASP进行原理介绍和应用。OpenRASP介绍百度云分析团队开源的自适应安全产品https://rasp.baidu.com/...
OpenRASP开源的RASP解决方案
08-08
RASP 以探针的形式,将保护引擎注入到应用服务中,可在文件、数据库、网络等多个层面,对应用进行全面的保护。当发生敏感的行为时,可以结合请求上下文进行的判断,并阻断攻击,具有低误报率,低漏报率的优点
推荐开源项目OpenRASP - 应用服务器内置的实时防护系统
最新发布
gitblog_00077的博客
05-12 410
推荐开源项目OpenRASP - 应用服务器内置的实时防护系统 项目地址:https://gitcode.com/baidu/openrasp 1、项目介绍 OpenRASPOpen Reconnaissance Attack Security Platform)是百度开源的一款应用级防护系统,不同于传统的Web应用程序防火墙(WAF),它通过直接在应用服务器中进行代码级别的集成,对关键功能调...
OpenRASP 初探(二)之项目部署
sacredbook的博客
04-06 3355
一、软件兼容性(openrasp 目前支持 java 和 php) 管理后台:操作系统兼容 Linux (CentOS 6+ / Ubuntu 14.04 + / 其他不要太老的系统)和 Mac OS X JAVA agent : -操作系统:MacOS 10.10+、Windows x64、Linux(RHEL/CentOS 6.X ~ 7.X/Ubuntu 14+/Debian 6+/其他 g...
OpenRASP v1.0 正式版发布 | 数据库异常监控与WebLogic支持如约而至
weixin_33895516的博客
04-23 139
开发四年只会写业务代码,分布式高并发都不会还做程序员? OpenRASP于2017年4月立项,其初衷是为了提供一套通用...
action请求_同盾技术 | OpenRASP Java源码分析与总结(二)Web请求、基于语法分析的SQL和安全基线检测...
weixin_39534321的博客
11-20 161
引子通过《OpenRASP Java源码分析与总结(一)——启动与检测》的分析,我们对OpenRASP Java部分的整体启动和检测流程有了大致的了解。本文将对OpenRASP所支持的js插件、安全基线等几类检测方式中,选取几个比较有代表性的检测进行详细分析。准备1agent Java代码包结构/+ |-boot // rasp.jar代码所在目录 | +-engine+ // rasp...
互联网开源的自适应安全产品OpenRASP 客户端使用基础
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
08-01 2290
1 介质下载 rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。 2 Java客户端安装 支持自动安装,进入 rasp 所在目录,执行安装命令即可: java -jar RaspInstall.jar -install <tomcat_root> 3 拦截启用 官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的...
建筑工程项目管理信息化技术初探.doc
11-29
【建筑工程项目管理信息化技术初探】 随着科技的快速发展,信息化技术在各行各业中逐渐扮演着重要角色,建筑工程项目管理也不例外。建筑工程项目管理信息化是指利用信息技术,包括计算机软件、网络通信技术等,对...
互联网传媒行业Web3.0初探一个基于区块链技术用户主导去
11-20
互联网传媒行业Web3.0初探一个基于区块链技术用户主导去中心化的网络生态共31页.pdf.zip
PPP项目移交阶段的风险防制初探最新版.pdf
03-12
PPP项目移交阶段的风险防制初探【最新版】.pdfPPP项目移交阶段的风险防制初探【最新版】.pdfPPP项目移交阶段的风险防制初探【最新版】.pdfPPP项目移交阶段的风险防制初探【最新版】.pdfPPP项目移交阶段的风险防制...
在PowerBuilder课程中应用项目教学法之初探
07-04
在PowerBuilder课程教学中采用项目教学法,精心设计项目教学内容,改进教学方法,提高学生实际编程的能力,培养学生分析问题和解决问题的能力,既能体现教师的主导作用又能发挥学生的主体作用,从而为学生创造良好的学习...
php笔记之:初探PHPcms模块开发介绍
10-27
本篇文章介绍了,PHPcms模块开发的应用。需要的朋友参考下
rasp 系统_OpenRASP管理后台安装记录
weixin_39765840的博客
12-19 389
一、安装java在CentOS中安装ElasticSearch需要Java1.8.0,可执行命令java -version查看当前系统所安装Java版本是否为1.8.0版本。openjdk version "1.8.0_212"OpenJDK Runtime Environment (build 1.8.0_212-b04)OpenJDK 64-Bit Server VM (build 25.21...
OpenRASP安装使用教程
weixin_33693070的博客
11-24 1776
一、说明 1.1 RASP和WAF的区别 WAF,Web Application Firewall,应用防火墙。其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包。正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去的人在里面干什么他就不知道了。 RASP,Runtime application self-prot...
OpenRASP Java应用自我保护使用
fenglllle的博客
03-20 9832
前言 笔者上一章写了编译openrasp-v8的JNI编译过程,实际上是百度开源的OpenRASP的引擎依赖包,简单体验了,基础功能非常不错,只是很多管理功能需要2次开发,体验了以下,分享过程。 1. RASP与WAF RASP(Runtime application self-protection)运行时应用自我保护,将自身注入到应用程序中,与应用程序松耦合,进行实时监测、阻断攻击。对于JAVA而言,应用本身通过javaagent技术注入agent来实现,原有代码无需修改。 实际上WAF的部分功能
linux环境OpenRASP使用教程,集成openRASP与攻击测试
weixin_33128371的博客
05-07 1328
1.介绍openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。2.集成openRASP项目openRASP针对不同的服务器,提供了不同的安装方法,但是基本上都大同小异,本文以SpringBoot为例,springboot又可以打成jar包或者war包,本项目使用jar包部署,演示如何将openRASP集...
Openrasp百度开源代码分析
HY1273383167的博客
05-27 700
Openrasp是百度关于rasp技术的开源项目,由于工作需要,之前对rasp的源码进行了简单的分析。文章是之前就写好的,现在放出了,希望对大家有写帮助。 OpenRASPjava引擎的源码分析 安装包解压后目录结构如下: RaspInstall.jar是OpenRASPjava引擎的安装(卸载)运行文件,在终端中执行以下命令进行安装(以tomcat为例): java -jar RaspInstall.jar -install <tomcat_root> 值得注意的是:&lt.
利用OpenRASP构建WAF
wj193165zl的博客
07-31 487
项目现在只支持PHP和JAVA项目 OpenRASP安装: 环境设置: yum install -y vim wget net-tools epel-release java-1.8.0-openjdk* systemctl stop firewalld.service systemctl disable firewalld.service 安装并配置tomcat: cd /us...
openRASP安装教程
weixin_50339832的博客
06-03 1385
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 ElaticSearch安装 因为版本要求在[5.6, 7.0) 我们这里安装6.5.4版本。 docker p
实验1 沈晨玙 20190921211
08-08
接着,他创建了一个新的EmptyActivity,这是一个标准的Android项目起点,通常包含一个主活动和相应的布局文件。在创建过程中,可能需要等待一段时间,因为软件会自动下载必要的SDK组件和构建工具。 然后,为了运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值