OpenRASP 如何工作?


随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。OpenRASP是该技术的开源实现,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,很好的弥补了传统设备防护滞后的问题。若要了解更多细节,请阅读 谢幺 - 百度安全的 OpenRASP 项目,究竟是什么? 以及 OpenRASP 最佳实践

保护引擎深度集成

挂钩关键函数,深度监控应用执行流。在数据库、网络、文件系统等多个层面,对应用进行全面的监控和防护。

零规则检测漏洞

发生攻击时,自动识别用户输入。结合语义引擎、应用堆栈、请求上下文,零规则检测威胁。具体请看说明文档

高性能

高并发压力下,接口响应时间延迟 1~7ms,可接受。具体请看性能测试报告

可定制化更强

检测逻辑由JavaScript插件实现,全平台复用;日志可以通过http/syslog/kafka等方式推送,与SIEM系统完美集成。

OpenRASP 最佳实践 - v2020.04.13 (PDF)


详细了解RASP技术原理、OpenRASP 技术优势、最佳部署实践、企业级定制等内容。

IAST 商业版

目前 OpenRASP 开源版本的客户数量已经过百,QQ群人数超过1900人。为了更好满足企业级客户的需求,我们决定推出商业版。 相比于开源版本,商业版具有如下高级功能:


动态污点追踪。能够识别关键参数的来源,预判接口是否存在漏洞。

检测能力更强。支持NoSQL注入等22类漏洞检测,硬编码密码等60多类基线检测。

账号权限管理。可创建多个用户,并授予不同的权限。

自动升级支持。自动识别应用并部署,随应用重启而升级,无需再次部署。

类库弱点识别。在采集类库信息的同时,判断是否存在已知漏洞。

更多图表支持。支持漏洞报告导出,以及更加全面的可视化支持。


IAST商业版已经发布,请加入QQ群,并联系群主试用 - 群号: 259318664
常见问题

FAQ

WAF 在请求层进行过滤,而RASP技术则是根据应用行为进行过滤。这种技术具有如下优势,
  • 只有成功的攻击才会触发RASP的报警,而WAF是只要匹配特征就会报警 ...
  • WAF很难完全兼容后端应用的特性,导致防护引擎绕过;而RASP不受影响 ..
  • 可以实现应用热补丁,比如永久免疫 Struts OGNL 系列漏洞,WAF只能不断加规则 ...
  • 可定制安全编码规范、服务器安全基线,WAF做不了 ...
  • ...

还想了解更多?请下载我们编写的电子书 - OpenRASP 最佳实践

目前,我们支持 Tomcat 6-11, JBoss 4-16, Jetty 7-9, SpringBoot 1-2, WebSphere 7-9, WebLogic 10-12, PHP 5-7 等服务器,具体说明请查看 兼容性说明。2020年我们会逐步支持 C#、Node、Python 等其他开发语言。
OpenRASP 有着多种独特的检测算法,可以防护常见的 Web 攻击类型。另外,为了验证检测算法的实际效果和兼容性,我们搭建环境并测试了大量已知的CVE漏洞。具体请查看 攻击检测能力说明CVE 漏洞覆盖说明 两个页面。
高压力情况下,OpenRASP 对服务器的性能影响通常在 1~4% 之间,请求时延在 1-8ms 之间,具体可查看我们的性能报告。若性能问题,请联系我们进行调试。
OpenRASP 以JSON格式输出报警,结合 LogStash、rsyslog 等日志采集工具,可以轻易的和ELK、Splunk等SOC平台集成;从 v1.3 开始,管理后台支持直接写入 Kafka 队列。
检测逻辑均由JavaScript插件实现,我们提供了丰富的API,也提供了详细的开发和测试SDK,具体请参考 开发文档
插件支持观察模式,可以只报警,不拦截;为了防止日志量过大影响性能,你还可以配置日志限速,默认是1分钟100条。
未来,OpenRASP会支持 NodeJS、Python、Ruby、Golang、DotNet 等多种开发语言。为了避免在不同平台上重新实现检测逻辑,我们决定引入插件系统。选择JS作为插件开发语言,是因为它更加友好(相比于Lua),成熟的实现也多。
OpenRASP 会监控插件目录,当插件发生变化,就会立即重新加载。若某个插件有语法错误,会打印错误信息并忽略这个插件。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。
作为一款开源产品,OpenRASP可定制化更强,比如我们在v0.21里增加了DB2数据库的支持,目前商业产品均不支持;另外,我们的检测算法、框架都是完全开源的,可随意修改,增加攻击检测插件
请加入QQ技术讨论群,联系群主。群号为 259318664

技术支持


在使用 OpenRASP 的过程中,如果遇到任何问题,请联系我们

官方邮件支持



fuxi-pm # baidu.com

RASP 技术讨论群(推荐)



群1: 259318664

Google Groups(英文)



groups.google.com: openrasp

安全动态



Card image cap

​OpenRASP v1.3.0 正式发布 | 数据泄露检测、类库版本查询、检测能力加强

在安全能力方面,我们增加了HTTP响应检测点,第三方类库版本采集,命令语法错误识别等高级功能;在用户体验方面,我们增加了 Kafka 日志推送,合并IAST控制台到现有管理后台。具体请看发版纪要。

查看原文
Card image cap

OpenRASP v1.2.0 正式发布 | 发布DevSecOps轻量级解决方案,Java内存占用减少一半

在这个版本里,我们开源了openrasp-iast,一款基于RASP技术的灰盒漏洞检测工具。openrasp-iast 的定位是DevSecOps工具,通常部署在预上线环境(UAT),在QA完成功能测试后发起漏洞扫描。

查看原文
Card image cap

​那些年我们堵住的洞 – OpenRASP纪实

近期攻防需求急剧提升,OpenRASP也在多家知名企业生产环境落地,在实战中检测到了一些有意思的漏洞场景,下面我们一起来回顾。由于在护网期间表现出色,OpenRASP 获得四大行之一的致谢。

查看原文