OpenRASP

背景

最近幾年，Web攻擊手段開始變得復(fù)雜，攻擊面也越來(lái)越廣。傳統(tǒng)的安全防護(hù)手段，WAF、IDS 等等，大多是基于規(guī)則，已經(jīng)不能滿足企業(yè)對(duì)安全的基本需求。Gartner 在2014年提出了 "應(yīng)用自我保護(hù)" 技術(shù)的概念，即 "對(duì)應(yīng)用服務(wù)的保護(hù)，不應(yīng)該依賴于外部系統(tǒng)；應(yīng)用應(yīng)該具備自我保護(hù)的能力"。

為此，百度推出了開源的自適應(yīng)安全產(chǎn)品 -- OpenRASP，希望通過(guò)開源免費(fèi)的形式，讓更多的人參與進(jìn)來(lái)，并讓互聯(lián)網(wǎng)變得更加安全

項(xiàng)目簡(jiǎn)介

RASP 技術(shù)以探針的形式，將保護(hù)引擎注入到應(yīng)用服務(wù)中，能夠?qū)?yīng)用程序的執(zhí)行流進(jìn)行實(shí)時(shí)的檢測(cè)，并攔截攻擊。當(dāng)應(yīng)用服務(wù)器收到一個(gè)惡意請(qǐng)求，保護(hù)引擎就可以結(jié)合上下文，識(shí)別用戶輸入，檢查應(yīng)用邏輯是否被用戶輸入所修改，并決定是否阻斷這個(gè)請(qǐng)求。

這種做法具有如下優(yōu)勢(shì)，

1. 只有成功的攻擊才會(huì)觸發(fā)報(bào)警，所以誤報(bào)率和漏報(bào)率都要低一些

2. RASP可以記錄詳細(xì)的調(diào)用堆棧，幫助你理解漏洞成因

3. 不受畸形協(xié)議的影響

開始使用

請(qǐng)參考官方文檔進(jìn)行安裝和配置

另外，為了方便你對(duì)軟件進(jìn)行測(cè)試，我們提供了一組測(cè)試用例，包含OWASP常見安全漏洞，點(diǎn)擊這里查看

常見問(wèn)題

1. OpenRASP 都支持哪些應(yīng)用服務(wù)器?

目前，我們支持 Tomcat 6-8, JBoss 4.X, Jetty 7-9 等服務(wù)器，更多服務(wù)器支持開發(fā)中

2. OpenRASP 是否會(huì)影響服務(wù)器的性能?

在最壞的情況下，OpenRASP 對(duì)服務(wù)器的性能影響在 5% 以內(nèi)

3. 如何集成到現(xiàn)有的 SIEM/SOC 平臺(tái)中?

通過(guò) LogStash、rsyslog 等方式，你可以采集每臺(tái)服務(wù)器上的報(bào)警日志，并發(fā)到中央日志處理平臺(tái)

4. 如何開發(fā)一個(gè)檢測(cè)插件?

插件由JS實(shí)現(xiàn)，我們提供了詳細(xì)的開發(fā)和測(cè)試 SDK，具體請(qǐng)參考插件開發(fā)文