OpenRASP 初探(三)之 IAST

最新推荐文章于 2024-06-05 11:50:46 发布
最新推荐文章于 2024-06-05 11:50:46 发布
阅读量2.9k 收藏 8
点赞数 2
文章标签: 信息安全 安全漏洞 企业安全 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sacredbook/article/details/106584599
版权

前言

Openrasp 初探系列最后一篇,前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署,感兴趣可以移步:OpenRASP 初探(一)之项目介绍OpenRASP 初探(二)之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。
京杭大运河畔(2020.5.4 京东通州大运河畔)

一、IAST 简介

其实在第一篇中也介绍过 iast 的一些技术背景,这里再作下补充,以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起的一项新技术,被Gartner公司列为信息安全领域的Top10技术之一。融合了SAST和DAST技术的优点,无需源码,支持对字节码的检测。IAST极大的提高了安全测试的效率和准确率,良好的适用于敏捷开发和DevOps,可以在软件的开发和测试阶段无缝集成现有开发流程,让开发人员和测试人员在执行功能测试的同时,无感知的完成安全测试,解决了现有应用安全测试技术面临的挑战。

二、Openrasp-IAST 架构

在这里插入图片描述IAST 通过 openrasp 管理后台集中进行插件管理,并通过集中推送的方式将插件推送到全部应用的 agent,但是一个 agent 同时只支持一个 agent,一旦将 iast 推送后,agent 将失去防护插件的功能。所以 IAST 更趋向于集成到测试环境,当进行功能测试时,相关接口被请求到就会自动推送到 IAST 扫描器触发安全扫描任务。

而生产环境则需要单独部署一套 openrasp 使用防护类插件进行攻击的监测和防护。
在这里插入图片描述

三、IAST 安装

本工具仅支持 Linux 平台,在开始之前,请先确保安装:

OpenRASP 管理后台 版本 >= 1.2.0,并至少有一台在线主机
Python 3.6 或者更高版本
MySQL 5.5.3, 或者更高版本

备注:IAST 扫描器可安装在任意 Linux 主机上(可以单独的一台服务器,不需要和应用实例或 Openrasp 管理后台部署在一起),通过 Openrasp 管理后台进行扫描任务管理,因此需要网络互通。

扫描器端安装:

  1. 使用 pip3 安装 openrasp-iast,以及依赖的库:
pip3 install --upgrade git+https://github.com/baidu-security/openrasp-iast

安装过程中因为源的问题,可能会导致有些慢,要么挂个代理,要么使用国内的源。(在公司是有vpn的,但是依然很慢,果断用了豆瓣的源)

pip3 install --upgrade git+https://github.com/baidu-security/openrasp-iast -i http://pypi.douban.com/simple/
  1. 配置mysql数据库 (创建rasp账户 和openrasp库)
DROP DATABASE IF EXISTS openrasp;
CREATE DATABASE openrasp default charset utf8mb4 COLLATE utf8mb4_general_ci;
grant all privileges on openrasp.* to 'rasp'@'%' identified by 'rasp123';
grant all privileges on openrasp.* to 'rasp'@'localhost' identified by 'rasp123';

Openrasp 管理后台配置:

  1. 打开管理后台,在「插件管理」tab 页,将 iast 插件(如果没有插件需要到官方下载并上传)推送到 agent。
    在这里插入图片描述
  2. 「防护设置」进行扫描器配置,在 fuzz 服务器地址处填写刚安装 iast 扫描器的主机地址,端口、访问目录都是代码中默认的,只要关注访问域名或 ip 即可。
    在这里插入图片描述
  3. 点击「添加主机」查看扫描器服务配置参数
    在这里插入图片描述根据上图第3步,安装的 iast 服务的配置参数,在 iast 服务器输入命令进行初始化配置。
openrasp-iast config -a
508c865f9f1f4e7614de44e8d365e262fb1cd9fe -b
rAuESGQUtcKNiBLs1q1pZ5rZDbrF01vnDTDTAFJdmZN -c
http://ip:8086/ -m mysql://rasp:rasp123@127.0.0.1/openrasp

iast 服务配置和启动:

  1. 服务配置参见上文
  2. 启动服务,输入命令:openrasp-iast start -f //-f 参数为前台运行,不加就是后台运行。
    在这里插入图片描述提示服务启动成功后,可以访问 YOUR_IP:18664 ,查看 iast 控制台,如下图:
    在这里插入图片描述
    安装完成验证:
    此时全部安装配置工作都已完成,我们请求安装 agent 的应用程序,请求一些接口,此时观察iast控制台出现扫描任务证明安装配置成功。可以开始实时交互扫描了。
    在这里插入图片描述

四、IAST 扫描支持漏洞类型

命令注入
目录遍历
PHP eval 代码执行
文件上传
文件包含
任意文件读取
任意文件写入
SQL 注入
SSRF
Java XXE

写在最后: 目前openrasp还在持续不断地维护和更新中,以上的安装步骤主要基于 1.3.1之前的版本,在1.3.2版本已经将扫描的任务管理集成到rasp的管理后台,管理起来更加的方便,大家可以随时关注 openrasp官网的动态。也再次感谢百度安全团队openrasp项目对安全圈的卓越贡献,带领大家共同探索rasp,向前发展。后续我会再更新几篇,在生产环境部署后的一些遇到的小问题和解决方法,欢迎关注。

黑锅侠
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透--67--OpenRasp-IAST二次开发说明
武天旭的博客
01-15 1541
IAST的二次开发,开发环境基于MACOS操作系统 一、安装基础环境 同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍 二、编译并运行管理后台 编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容! 2.1、基础环境安装 1、安装最新版的golang,并配置环境变量 2、安装最新版的nodejs,并配置环境变量 3、安装最新版的npm,并配置环境变量
web渗透--66--基于Springboot的Docker部署OpenRASP-IAST
武天旭的博客
01-15 1572
线上部署,部署在测试环境 前话 1、rasp新版本(1.3.0之后)因为官方将IAST控制台与cloud控制台合并,从而导致新控制台下无法实现自动开启扫描(官方放弃该功能就是因为新控制台下无法实现)。 2、rasp新版本(1.3.0之后)新增的功能类库信息扫描是一个非常有价值的功能,这个功能在老版本中没有。
OpenRASP开源的RASP解决方案
08-08
RASP 以探针的形式,将保护引擎注入到应用服务中,可在文件、数据库、网络等多个层面,对应用进行全面的保护。当发生敏感的行为时,可以结合请求上下文进行的判断,并阻断攻击,具有低误报率,低漏报率的优点
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
一文搞懂:开发安全中的SAST、DAST、IAST和RASP
最新发布
qq_21408865的博客
06-05 495
开发安全 SAST DAST IAST RASP DevSecOps SDL SDLS
openrasp-iast 灰盒扫描工具
05-25 670
openrasp-iast 是一款灰盒扫描工具,能够结合应用内部hook点信息精确的检测漏洞,需安装Agent和扫描器,支持java、PHP等应用程序。在这里,我们通过docker部署控制台,接入一个PHP应用进行测试体验。 一、快速搭建环境 使用容器快速搭建一整套的测试环境,包含 IAST 扫描器、OpenRASP 管理后台 以及 漏洞测试用例。 sudo sysctl -w vm.max_...
互联网开源的自适应安全产品OpenRASP 客户端使用基础
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
08-01 2290
1 介质下载 rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。 2 Java客户端安装 支持自动安装,进入 rasp 所在目录,执行安装命令即可: java -jar RaspInstall.jar -install <tomcat_root> 3 拦截启用 官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的...
IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_
10-04
标题中的“IAST-master_isat计算_iast怎么算_IASTadsorption_吸附_IAST_”表明这个压缩包可能包含一个关于理想吸附理论(Ideal Adsorbed Solution Theory, 简称IAST)的项目或者代码库,特别是针对ISAT( Ideal ...
DongTai-Doc:东台 IAST 文档
08-03
火线~洞态IAST :party_popper::party_popper::party_popper: 一款交互式应用安全评估工具(被动式) 一、简介 1.火线~洞态IAST属于被动式IAST,不需要重放数据包,不产生脏数据; 2.被动式IAST具有近实时检测、高...
利用IAST推动应用安全测试自动化.pdf
08-08
利用IAST推动应用安全测试自动化-IAST是DevSecOps实现自动化安全测试的最佳工具之一 推进DevSecOps最关键原则 应用安全测试常用工具 SAST DAST-爬虫型WEB扫描器 DAST-代理型WEB扫描器 IAST-插桩主动型IAST IAST-插桩...
DongTai-agent-java:“火线〜洞态IAST”是成套专为甲方安全人员,代码审计工程师和0挖掘0天
04-01
洞态IAST原“灵芝IAST”,后更称为“洞态IAST”,产品更改为SaaS版,代理端收集与污点相关的数据并发送到服务器端,服务器端接收数据并重组成污点方法图,再根据深度优先算法搜索污点调用链项目介绍“火线〜洞态IAST...
洞态IAST落地实践
phantoms007的博客
06-17 1600
刚开始,笔者测试百度OpenRASPIAST功能(主动式IAST),OpenRASPIAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上解决了脏数据的问题,但是出现了很多漏报,而且基于重放HTTP请求的检测方式,对存在签名、防重放之类,无法进行HTTP请求重放的接口来说,...
简析IAST—Agent篇 | 信息安全
360技术
06-21 2907
一、IAST简单介绍IAST(Interactive Application Security Testing)交互式应用程序安全测试,通过服务端部署Agent探针,流量代理/VPN或主机系统软件等方式,监控Web应用程序运行时函数执行并与扫描器实时交互,高效、精准的安全漏洞,是一种运行时灰盒安全测试技术。在分析并评估了业界主流的几家IAST产品后,发现IAST一般可以提供agent插桩检测、流量...
洞态IAST在某互联网甲方的落地实践
weixin_40418457的博客
05-19 637
IAST作为开展SDL中黑白盒测试的有效补充,还是很有必要去了解使用的。笔者为了完善公司的SDL流程,调研了开源的IAST产品进行测试和内部推广 刚开始,笔者测试百度OpenRASPIAST功能(主动式IAST),OpenRASPIAST通过对agent采集到的流量数据进行重放,根据hook点信息做选择性的扫描;与主动式漏扫相比,这种方式减少了很多请求,但是也会存在少量的脏数据,对测试不是很友好;OpenRASP的扫描器支持配置URL白名单,笔者通过对eidt、add、logout等接口加白,基本上.
OpenRASP 初探(一)之项目介绍
sacredbook的博客
03-05 5738
前言 在这里首先感谢百度安全团队对安全事业的贡献精神,让我得以接触到这款国内为数不多的功能完善、成熟的RASP产品。其次也感谢百度安全团队的大牛 @c0de::bre@k 在我进行调研实施的时候,给予了最大的帮助和耐心的解答。 后面我将分几篇文章介绍我在调研Openrasp时的一些心得,希望对大家能有所帮助和启发。 公司的核心业务其实大部分使用python和go语言来进行开发,因此一直以来包括wa...
RASPIAST扫描器的安装及使用
Jiajiajiang_的博客
01-09 3180
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 Elatic...
linux 卸载 resin,卸载软件 - OpenRASP 官方文档 - 开源自适应安全产品
weixin_34615710的博客
05-11 255
卸载软件自动卸载方法如果你安装时使用了自动安装程序,那么卸载的时候你也应该使用自动卸载程序。Java 服务器仅适用于 tomcat/jboss/resin/weblogic/wildfly 服务器。进入 rasp 安装包解压目录,e.g rasp-2018-12-20,并执行如下命令java -jar RaspInstall.jar -uninstall 不重启卸载:不重启卸载 OpenRASP,...
Openrasp百度开源代码分析
HY1273383167的博客
05-27 695
Openrasp是百度关于rasp技术的开源项目,由于工作需要,之前对rasp的源码进行了简单的分析。文章是之前就写好的,现在放出了,希望对大家有写帮助。 OpenRASP中java引擎的源码分析 安装包解压后目录结构如下: RaspInstall.jar是OpenRASP中java引擎的安装(卸载)运行文件,在终端中执行以下命令进行安装(以tomcat为例): java -jar RaspInstall.jar -install <tomcat_root> 值得注意的是:&lt.
linux环境OpenRASP使用教程,集成openRASP与攻击测试
weixin_33128371的博客
05-07 1324
1.介绍openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。2.集成openRASP到项目中openRASP针对不同的服务器,提供了不同的安装方法,但是基本上都大同小异,本文以SpringBoot为例,springboot又可以打成jar包或者war包,本项目使用jar包部署,演示如何将openRASP集...
理想溶液吸附理论IAST
01-09
理想吸附溶液理论(IAST)是一种用于计算多组分气体混合物在吸附剂上的吸附量的理论模型。IAST假设各组分在吸附剂上的吸附是独立的,并且各组分之间没有相互作用。根据IAST,可以使用以下公式计算各组分的吸附量: n_i = x_i * q_i / (1 + ∑(x_j * (q_j / q_i))) 其中,n_i是第i个组分的吸附量,x_i是第i个组分的摩尔分数,q_i是第i个组分在吸附剂上的吸附量,∑(x_j * (q_j / q_i))是对所有组分进行求和。 根据引用中的数据,可以使用IAST来计算HKUST-1对CH4/N2的分离因子。根据引用中的数据,CH4的吸附量为25.1 cm3/g,N2的吸附量为8.0 cm3/g。假设CH4和N2的摩尔分数分别为x_CH4和x_N2,则根据IAST可以计算出CH4和N2的吸附量: n_CH4 = x_CH4 * q_CH4 / (1 + x_N2 * (q_N2 / q_CH4)) n_N2 = x_N2 * q_N2 / (1 + x_CH4 * (q_CH4 / q_N2)) 根据引用中的数据,可以得到CH4和N2的摩尔分数为x_CH4 = 25.1 / (25.1 + 8.0) ≈ 0.758 和 x_N2 = 8.0 / (25.1 + 8.0) ≈ 0.242。假设CH4和N2在HKUST-1上的吸附量分别为q_CH4和q_N2,则可以使用上述公式计算出CH4和N2的吸附量。 根据引用中的数据,HKUST-1对CH4的吸附热为20 kJ/mol左右,与分子筛类吸附剂相比吸附热较小,易于再生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值