OpenRASP
背景
最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。
为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全
项目简介
RASP 技术以探针的形式,将保护引擎注入到应用服务中,能够对应用程序的执行流进行实时的检测,并拦截攻击。当应用服务器收到一个恶意请求,保护引擎就可以结合上下文,识别用户输入,检查应用逻辑是否被用户输入所修改,并决定是否阻断这个请求。
这种做法具有如下优势,
-
只有成功的攻击才会触发报警,所以误报率和漏报率都要低一些
-
RASP可以记录详细的调用堆栈,帮助你理解漏洞成因
-
不受畸形协议的影响
开始使用
请参考官方文档进行安装和配置
另外,为了方便你对软件进行测试,我们提供了一组测试用例,包含OWASP常见安全漏洞,点击这里查看
常见问题
1. OpenRASP 都支持哪些应用服务器?
目前,我们支持 Tomcat 6-8, JBoss 4.X, Jetty 7-9 等服务器,更多服务器支持开发中
2. OpenRASP 是否会影响服务器的性能?
在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内
3. 如何集成到现有的 SIEM/SOC 平台中?
通过 LogStash、rsyslog 等方式,你可以采集每台服务器上的报警日志,并发到中央日志处理平台
4. 如何开发一个检测插件?
插件由JS实现,我们提供了详细的开发和测试 SDK,具体请参考插件开发文
-
RASP管理后台安装 首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。 目前对数据库的要求是 MongoDB版本大于等于3.6 ElasticSearch版本大于等于5.6,小于7.0 我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。 docker环境安装 ElaticSe
-
OpenRASP 简介 OpenRASP 是一个百度安全旗下的免费开源安全项目,全称应该是:Opensource Runtime Application Self-Protection 开源实时程序自保护系统。它隶属于百度 OAESE智能终端安全生态联盟,是其中五大开放技术之一。功能就是——检测网络入侵,从而发现漏洞。 竞品 WAF(Web Application Firewall)
-
0x01 介绍 Introduction Unlike perimeter control solutions like WAF, OpenRASP directly integrates its protection engine into the application server by instrumentation. It can monitor various events inclu
-
本文为百度openrasp的v8引擎包编译说明,只尝试过Java版本。 为了保证最大兼容性,建议使用 JDK 6 进行编译。 文件 jdk-6u45-linux-x64-rpm.bin。执行 chmod +x 后像执行脚本一样执行安装便可以。安装后文件位置为 /usr/java/jdk1.6.0_45,需在 /etc/profile中配置 JAVA_HOME=/usr/java/jdk1.6.0_
-
日志说明 存储路径 OpenRASP 默认会开启文件日志,存储路径如下: Java 版本: /rasp/logs/alarm/*.log* PHP 版本: /logs/alarm/*.log 值得注意的是,Java 版本当前的报警没有日期,只有日志滚动之后才会有日期,e.g /tomcat/rasp/logs/alarm/alarm.log /tomcat/rasp/logs/alarm/alar
-
我一直在使用PHP做我自己的CSRF保护。从我所读到的内容来看,我决定使用cookie来实现我的保护,但对于我的方法是否能安全抵御CSRF攻击感到有点困惑。 因此,我的方法如下: > 用户发送登录请求 服务器检查是否设置了CSRF令牌,如果未设置,则创建一个,并将其存储在会话中,并使用令牌创建Cookie 通过检查CSRF令牌是否在POST请求中进行验证,如果不在POST请求中,则检查$\u CO
-
使用 HTTPS 保护站点安全 构建 PWA 应用时,HTTPS 是必不可少的条件之一。使用 HTTP 协议的应用存在着一定的安全隐患,这是因为 HTTP 本身不具备加密的功能,通信中使用明文传输请求和响应的内容,内容可能会被窃听,而且 HTTP 缺少对通信双方身份进行校验的环节,也无法证明报文内容的完整性,存在身份伪装和信息被篡改的风险。所以,我们应该严格地使用 HTTPS 协议来保护 PWA
-
在尝试保护你的应用时,你是否有过挫折?是否觉得现有的 Java 安全解决方案难以使用,只会让你更糊涂?本文介绍的 Apache Shiro,是一个不同寻常的 Java 安全框架,为保护应用提供了简单而强大的方法。本文还解释了 Apache Shiro 的项目目标、架构理念以及如何使用 Shiro 为应用安全保驾护航。 什么是Apache Shiro?? Apache Shiro(发音为“shee-
-
本文向大家介绍如何使用SpringSecurity保护程序安全,包括了如何使用SpringSecurity保护程序安全的使用技巧和注意事项,需要的朋友参考一下 首先,引入依赖: 引入此依赖之后,你的web程序将拥有以下功能: 所有请求路径都需要认证 不需要特定的角色和权限 没有登录页面,使用HTTP基本身份认证 只有一个用户,名称为user 配置SpringSecurity springsecur
-
我正在使用Spring云安全和Oauth2来保护我的微服务。现在Pom如下: http://maven.apache.org/xsd/maven-4.0.0.xsd" Spring靴主要等级如下: 授权服务器配置如下: 注意:身份验证管理器自动连接到授权配置中 在下面的类中,身份验证管理器被配置并返回为abean,以便可以自动连接到上面的类: 现在application.properties如下:
-
千万不要轻视正确配置安全设置的重要性。如果不正确配置安全设置,不但会使您的 ASP 应用程序遭受不必要的篡改,而且会妨碍正当用户访问您的 .asp 文件。 Web 服务器提供了各种方法来保护您的 ASP 应用程序免受未授权的访问和篡改。在您读完本主题下的安全信息之后,请花一定的时间仔细检查一下您的 Windows NT 和 Web 服务器安全性文档。 NTFS 权限 您可以通过为单独的文件和目录应