xsharkrasp-CSDN博客

原创 GOTC演讲回顾|基于代码疫苗技术的开源软件供应链安全治理

5月27-28日，由上海浦东软件园、开放原子开源基金会、Linux基金会亚太区和开源中国联合发起的2023全球开源技术峰会（Global Open-source Technology Conference， GOTC)在上海圆满召开。大会聚焦开源前沿技术与产业生态发展，以行业展览、主题发言、专题论坛、开源市集的形式来诠释本次大会的主题——Open source，into the future。图1 2023 GOTC大会主论坛现场。

2023-06-25 16:36:28 191

原创【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)

Apache Kafka是一个分布式数据流处理平台，可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端，对Kafka Connect worker 创建或修改连接器时，通过构造特殊的配置，进行JNDI 注入来实现远程代码执行。

2023-06-09 17:58:55 1534

原创如何防御Java中的SQL注入

SQL注入(也称为SQLi)是指攻击者成功篡改Web应用输入，并在该应用上执行任意SQL查询。此种攻击通常会利用编程语言用来括住字符串的转义字符。攻击者想方设法用表单字段或URL参数向应用注入额外的SQL代码进而获得在目标数据库上执行未经授权的操作的能力。图1：SQL注入原理SQL注入是Web应用最常遭受攻击类型之一；此外，还有许多安全威胁是Java开发人员应该注意的，包括:恶意JarXSS注入Java LDAP注入XPath注入SecurityManager漏洞1、识别第三方漏洞。

2023-05-26 14:14:19 264

原创【高危】WebLogic Server 远程代码执行漏洞复现及攻击拦截 (CVE-2023-21839)

近日，Oracle WebLogic Server被检测到远程代码执行漏洞(CVE-2023-21839)，该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏WebLogic服务器，成功利用此漏洞可导致关键数据的未授权访问或直接获取WebLogic服务器权限。当远程对象继承自OpaqueReference时，客户端在对该对象进行JNDI查找并获取的时候，服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的实际引用。发起攻击请求：新建/tmp/1.txt文件。

2023-05-18 17:38:44 602

原创 RSAC创新沙盒十强出炉，这家SCA公司火了

对于开发团队，可以协助做出更好的依赖引入选择，同时获得更合理的漏洞修复优先级，进而实现安全的无痛嵌入。在研发运营的整个周期中，有了这份透明化的资产清单，研发阶段可以及时替换安全版本的组件或修复漏洞，运营阶段新的漏洞爆发或出现新的利用方式时能够按图索骥，快速定位漏洞位置及影响范围，协助制定更高效合理的修复方案。依赖引入后，Endor Labs的工具会梳理代码中包含的所有的依赖情况并输出可视化的SBOM清单，同时会统计单个依赖被引入的次数，记录组织中最常用的依赖版本，便于减少依赖项的总量、控制依赖面。

2023-04-21 17:49:07 77

原创蔚来汽车大量数据泄露，谁来保护智能汽车时代的应用安全？

在研发阶段，为了保障软件供应链的安全可信，使用SCA（软件成分分析）工具对代码进行检测，并形成软件物料清单（SBOM），盘点代码中引入的第三方组件及这些组件引入的漏洞风险，并围绕SBOM建立安全管理流程。然而，如火如荼的市场也吸引了更多的黑客关注，遭遇着更强的安全风险。特别地，对于尚无新版本组件可替换或不便升级组件的开源漏洞以及突然爆发的0day漏洞，RASP可以通过下发热补丁的方式，在不修改源码的情况下对攻击和恶意请求进行识别和阻断，实现对未知安全风险的及时治理，为审慎的漏洞修复争取宝贵时间。

2023-04-19 10:26:32 129

原创攻防演练 | 攻防在即，RASP为上

面对0day/Nday、邮件钓鱼、社工、Web攻击等诸多手段，纵然有蜜罐、WAF、IDS/IPS等诸多防护工具，仍然有安全防护能力的缺失，缺少运行时应用程序保护的RASP技术。攻防对抗是“敌在明，我在暗”，攻守不对等对于防守方而言更像是一个猜谜游戏，因为完全猜想不到攻击者会从哪个地方发起攻击，采用什么样的攻击手段，比较薄弱的防守面是否已经暴露，自身的数据是否已经泄露等等诸多问题，可谓是神经紧绷、夜晚失眠、饭菜不香，真希望攻防演练的活动抓紧结束，避免自身丢分，被吊打的很惨。● 攻击严重程度和攻击频次。

2023-04-19 10:21:44 97

原创重磅更新|云鲨RASP新增Python、PHP两种语言探针，新增订阅日报

凭借专利级 AI 检测引擎、应用漏洞免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将主动防御能力“注入”到业务应用中，为业务应用出厂默认安全免疫迎来革新发展，是您应用安全的最后一道防线。云鲨RASP SaaS是悬镜安全基于专利级代码疫苗技术推出的中国领先的应用威胁免疫平台。点击官网”帮助文档——插桩教程“即可查看。点击上方“插桩视频参见文档”即可跳转。在全新版本中重磅上线两种新语言探针，每种语言都配备了插桩教程和实操视频，在通知设置中一键启动“邮件通知”，点击“个人中心——账号信息“补。

2023-04-19 10:20:11 157

原创 ISC技术分享：从RASP开启云上应用安全防护

它能通过动态插桩、应用漏洞攻击免疫算法、运行时安全切面调度算法等关键技术，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式，提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。这种架构模式的转变使得安全的工作量增加了。悬镜在大量实践IAST和RASP的过程中发现，可以将它们的探针与Tomcat等中间件结合，也可以与容器结合，从而将基础环境、代码和安全能力进行整合，共同打造云原生安全场景下的应用防护能力。

2023-04-17 10:53:16 83

原创一文读懂运行时应用程序自我保护（RASP）

软件开发人员可以通过应用程序源代码中的函数调用来访问RASP技术，这种方法更为准确，因为开发人员可以指定他们想要保护应用程序的那些部分，比如登录、数据库查询和管理管理。传统的安全工具，如虚拟专用网络(VPN)、WEB 应用防火墙和网络访问控制(NAC)，配置起来非常耗时，并且，通常情况下，开发人员都不参与这些配置。：RASP作为一种新型的、有效的、实时的应用保护手段，正被越来越多的企业使用，本文用浅显易懂的文字讲解了RASP技术、RASP与WAF的关系，并提供了应用解决方案，快来阅读吧~

2023-04-17 10:52:23 235

原创 RASP技术进阶系列（二）：东西向Web流量智能检测防御

对于一些经常爆发漏洞的开源软件和第三方组件而言，漏洞存在位置和利用方法可能不同，但是在进行利用时，执行到应用代码底层，往往都会聚集到一些“敏感”函数上，如反序列化、数据库执行、命令执行、文件操作、响应返回等相关函数。也就是说，如果应用存在漏洞，但攻击者无法利用该漏洞进行下一步操作，则该漏洞风险就不产生危害。以EDR技术为例，其作为传统纵深防御体系下主机安全层面防御方案，特点是采用自适应安全体系的架构，覆盖防御、监控、回溯和预测这四项关键能力，各项安全能力以智能、集成和联动的方式应对各类攻击。

2023-04-17 10:51:23 106

原创 RASP解决Java安全问题探讨

悬镜云鲨RASP自适应威胁免疫平台作为悬镜第三代DevSecOps智适应威胁管理体系中运营环节的持续检测响应平台，通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式，提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。，可以始终以可行的方式保护核心的代码，在不更改软件不影响性能的前提下保护多个应用程序。

2023-04-11 11:06:22 306 1

原创悬镜云鲨SaaS三大核心能力构筑下一代积极防御体系

众所周知，SaaS的交付形式对产品自身有着较高标准的要求，无论是探针的稳定性、安全策略的精准度，还是在RASP平台内置的安全处理流程方面的能力都面临着比较大的考验。面对当前用户最为关注的开源组件风险管理问题，云鲨RASP还融合了悬镜安全独有的OSS引擎，能够精准地识别应用系统实际运行过程中动态加载的第三方组件及依赖，对运行时的应用程序本身进行深度且更加有效的威胁分析，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，更进一步地保障应用程序的安全运行，从RASP的角度出发，解决用户重点关切的开源治理难题。

2023-04-10 15:42:28 320

原创分享！一文简析RASP技术

等等诸多问题时，修复已经被利用的漏洞并将RASP插件放入应用程序的部署包中，可以降低安全漏洞发生的风险，确保代码的构建过程安全完成。例如，在对“encrypt”的调用中，RASP工具可以检查“key”的值是否由受信任的密钥存储库发出的，并且在发出后直到“encrypt”函数使用它之前没有被修改过。由于开源软件使用比较便利，众多软件开发人员在应用程序的开发中使用了此类软件，但是由于开源软件中的安全漏洞比较严重，缺失系统的安全审查机制，使得软件供应链攻击呈现上升趋势。而且在预生产中很容易部署，能成功阻止攻击。

2023-04-07 10:24:01 519 1

原创 RASP技术进阶系列（一）：与WAF的“相爱相杀”

当单独使用WAF或者RASP的时候，它们都因为自身的短板，在一些问题上显得力不从心。但当两者结合时，它们都将在自己擅长的领域大放异彩。

2022-12-09 11:54:02 514 1

原创攻防演练 | RASP让WebShell 破防了

WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。

2022-12-07 19:17:26 234

xsharkrasp的博客