OpenRASP 如何工作?


随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。OpenRASP是该技术的开源实现,可以在不依赖请求特征的情况下,准确的识别代码注入、反序列化等应用异常,很好的弥补了传统设备防护滞后的问题。若要了解更多细节,请阅读 谢幺 - 百度安全的 OpenRASP 项目,究竟是什么? 以及 OpenRASP 最佳实践

保护引擎深度集成

挂钩关键函数,深度监控应用执行流。在数据库、网络、文件系统等多个层面,对应用进行全面的监控和防护。

零规则检测漏洞

发生攻击时,自动识别用户输入。结合语义引擎、应用堆栈、请求上下文,零规则检测威胁。具体请看说明文档

高性能

高并发压力下,接口响应时间延迟 1~7ms,可接受。具体请看性能测试报告

可定制化更强

检测逻辑由JavaScript插件实现,全平台复用;支持JSON文件日志或者syslog推送,与SIEM系统完美集成。

OpenRASP 最佳实践 - v2019.04.17 (PDF)


详细了解RASP技术原理、OpenRASP 技术优势、最佳部署实践、企业级定制等内容。

将 OpenRASP 部署到线上服务器

立即接入

请用电脑访问,并进行安装

https://rasp.baidu.com


点击这里下载最新的安装包,并使用如下命令进行安装

Java 服务器

java -jar RaspInstall.jar -install <app_homedir>

PHP 服务器

php install.php -d <openrasp_rootdir>

目前我们支持 Java、PHP 5.3 ~ 7.3 两类服务器,更多语言支持埋头开发中 ...

OpenRASP 包含三类日志,插件日志调试日志报警日志
日志默认写入到文件,若要发往 syslog,请在管理后台进行配置。

在 v1.3 版本我们会支持后台直接写 Kafka 服务器,敬请期待。

目前,OpenRASP 的报警由SIEM平台提供,目前支持 KibanaSplunk 两种SIEM平台, 具体配置请参考文档

为了方便你进行测试,我们提供了一组存在漏洞的脚本, 点击这里查看详情

常见问题

FAQ

WAF 在请求层进行过滤,而RASP技术则是根据应用行为进行过滤。这种技术具有如下优势,
  • 只有成功的攻击才会触发RASP的报警,而WAF是只要匹配特征就会报警 ...
  • WAF很难完全兼容后端应用的特性,导致防护引擎绕过;而RASP不受影响 ..
  • 可以实现应用热补丁,比如永久免疫 Struts OGNL 系列漏洞,WAF只能不断加规则 ...
  • 可定制安全编码规范、服务器安全基线,WAF做不了 ...
  • ...

还想了解更多?请下载我们编写的电子书 - "OpenRASP 最佳实践"

目前,我们支持 Tomcat 6-8, JBoss 4-6, Jetty 7-9, SpringBoot, WebSphere 8-9, PHP 5-7 等服务器, 详情查看这里,更多服务器支持埋头开发中 ...
OpenRASP 有着多种独特的检测算法,可以防护常见的 Web 攻击类型。另外,为了验证检测算法的实际效果和兼容性,我们搭建环境并测试了大量已知的CVE漏洞。具体请查看 攻击检测能力说明CVE 漏洞覆盖说明 两个页面。
高压力情况下,OpenRASP 对服务器的性能影响通常在 1~4% 之间,请求时延在 1-8ms 之间,具体可查看我们的性能报告。若性能问题,请联系我们进行调试。
OpenRASP 以JSON格式输出报警,结合 LogStash、rsyslog 等日志采集工具,可以轻易的和ELK、Splunk等SOC平台集成
检测逻辑均由JavaScript插件实现,我们提供了丰富的API,也提供了详细的开发和测试SDK,具体请参考 开发文档
插件支持观察模式,可以只报警,不拦截;为了防止日志量过大影响性能,你还可以配置日志限速,默认是1分钟100条。
未来,OpenRASP会支持 NodeJS、Python、Ruby、Golang、DotNet 等多种开发语言。为了避免在不同平台上重新实现检测逻辑,我们决定引入插件系统。选择JS作为插件开发语言,是因为它更加友好(相比于Lua),成熟的实现也多。
OpenRASP 会监控插件目录,当插件发生变化,就会立即重新加载。若某个插件有语法错误,会打印错误信息并忽略这个插件。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。
作为一款开源产品,OpenRASP可定制化更强,比如我们在v0.21里增加了DB2数据库的支持,目前商业产品均不支持;另外,我们的检测算法、框架都是完全开源的,可随意修改,增加攻击检测插件
请加入QQ技术讨论群,联系群主。群号为 259318664

技术支持


在使用 OpenRASP 的过程中,如果遇到任何问题,请联系我们

官方邮件支持



fuxi-pm # baidu.com

RASP 技术讨论群(推荐)



群1: 259318664

Google Groups(英文)



groups.google.com: openrasp

安全动态



Card image cap

OpenRASP v1.0 正式版发布 | 据库异常监控与WebLogic支持如约而至

该版本增加了 WebLogic、Undertow、PHP 7.3 等服务器支持,增加了SQL异常监控、代码反编译、应用加固等能力。

查看原文
Card image cap

OpenRASP v0.40 发布 | 正式支持 PHP 7.X

据第一个版本发布相隔约2个月,百度安全此次发布OpenRASP v0.40版本。该版本根据QQ群用户反馈,增强了检测能力,修复了一些绕过问题

查看原文
Card image cap

OpenRASP v0.23 发布 | 性能提升与SSRF检测

该版本在性能上做了大量优化,SQLi检测逻辑改为Java实现,反射检测移动到命令执行hook点,还优化了启动时间;在功能上增加了SSRF检测和配置文件动态更新

查看原文