OpenRASP 如何工作?
随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。OpenRASP是该技术的开源实现,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,很好的弥补了传统设备防护滞后的问题。若要了解更多细节,请阅读 谢幺 - 百度安全的 OpenRASP 项目,究竟是什么? 以及 OpenRASP 最佳实践。
FAQ
OpenRASP和WAF的区别在哪里?
WAF 在请求层进行过滤,而RASP技术则是根据应用行为进行过滤。这种技术具有如下优势,
- 只有成功的攻击才会触发RASP的报警,而WAF是只要匹配特征就会报警 ...
- WAF很难完全兼容后端应用的特性,导致防护引擎绕过;而RASP不受影响 ..
- 可以实现应用热补丁,比如永久免疫 Struts OGNL 系列漏洞,WAF只能不断加规则 ...
- 可定制安全编码规范、服务器安全基线,WAF做不了 ...
- ...
还想了解更多?请下载我们编写的电子书 - OpenRASP 最佳实践
目前支持哪些应用服务器?
目前,我们支持 Tomcat 6-11, JBoss 4-16, Jetty 7-9, SpringBoot 1-2, WebSphere 7-9, WebLogic 10-12, PHP 5-7 等服务器,具体说明请查看
兼容性说明。2020年我们会逐步支持 C#、Node、Python 等其他开发语言。
OpenRASP 可以检测哪些攻击类型?
OpenRASP 有着多种独特的检测算法,可以防护常见的 Web 攻击类型。另外,为了验证检测算法的实际效果和兼容性,我们搭建环境并测试了大量已知的CVE漏洞。具体请查看
攻击检测能力说明 和 CVE 漏洞覆盖说明 两个页面。
如何集成到现有的 SIEM/SOC 平台中?
OpenRASP 以JSON格式输出报警,结合 LogStash、rsyslog 等日志采集工具,可以轻易的和ELK、Splunk等SOC平台集成;从 v1.3 开始,管理后台支持直接写入 Kafka 队列。
如何开发一个检测插件 / 定制安全检测能力?
检测逻辑均由JavaScript插件实现,我们提供了丰富的API,也提供了详细的开发和测试SDK,具体请参考
开发文档
对于一个新插件,如何避免产生太多误报,影响业务?
插件支持观察模式,可以只报警,不拦截;为了防止日志量过大影响性能,你还可以配置日志限速,默认是1分钟100条。
为什么选择用 JavaScript 插件实现检测逻辑?
未来,OpenRASP会支持 NodeJS、Python、Ruby、Golang、DotNet 等多种开发语言。为了避免在不同平台上重新实现检测逻辑,我们决定引入插件系统。选择JS作为插件开发语言,是因为它更加友好(相比于Lua),成熟的实现也多。
安全检测插件是否支持实时更新?
OpenRASP 会监控插件目录,当插件发生变化,就会立即重新加载。若某个插件有语法错误,会打印错误信息并忽略这个插件。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。
OpenRASP和商业RASP产品的区别在哪里?
作为一款开源产品,OpenRASP可定制化更强,比如我们在v0.21里增加了DB2数据库的支持,目前商业产品均不支持;另外,我们的检测算法、框架都是完全开源的,可随意修改,增加攻击检测插件
还是没能解答你的问题?
请加入QQ技术讨论群,联系群主。群1
259318664
,群2 595568655
技术支持
在使用 OpenRASP 的过程中,如果遇到任何问题,请联系我们
安全动态
OpenRASP v1.3.0 正式发布 | 数据泄露检测、类库版本查询、检测能力加强
在安全能力方面,我们增加了HTTP响应检测点,第三方类库版本采集,命令语法错误识别等高级功能;在用户体验方面,我们增加了 Kafka 日志推送,合并IAST控制台到现有管理后台。具体请看发版纪要。
查看原文那些年我们堵住的洞 – OpenRASP纪实
近期攻防需求急剧提升,OpenRASP也在多家知名企业生产环境落地,在实战中检测到了一些有意思的漏洞场景,下面我们一起来回顾。由于在护网期间表现出色,OpenRASP 获得四大行之一的致谢。
查看原文