您的位置:

详解OpenRASP

OpenRASP是一款全局性的应用安全解决方案,它能够全面的保护Web应用免受各种漏洞攻击。

一、安装与配置

1、安装OpenRASP:

curl https://packages.baidu.com/app/openrasp/install | bash

2、安装后,将/webroot/WEB-INF/lib/openrasp-xx.jar文件放置在WEB-INF/lib目录下,将openrasp.properties文件放置在WEB-INF下。

二、OpenRASP核心功能

1、检测漏洞攻击

OpenRASP能够检测以下攻击:

  • SQL注入
  • XSS跨站脚本攻击
  • 命令注入攻击
  • 文件包含攻击
  • 文件上传攻击

在配置文件中可以指定对应的检测规则。

2、拦截并修复漏洞

OpenRASP不仅能够检测漏洞攻击,还能阻止攻击并修复漏洞,例如:

public void addUser(String username, String password) {
    String sql = "INSERT INTO users VALUES (" + username + ", " + password + ")";
    Connection con = DriverManager.getConnection(url, username, password);
    Statement st = con.createStatement();
    ResultSet rs = st.executeQuery(sql);
    //...
}

有一个SQL注入漏洞,攻击者可以通过username输入一段SQL语句,而OpenRASP检测到该漏洞并将其拦截处理,注入语句被替换为一个安全的字符串。

3、防御未知漏洞攻击

OpenRASP还能够防御未知漏洞攻击,当攻击者尝试利用一个未知漏洞进行攻击时,OpenRASP会拦截并记录该攻击,防止其继续攻击。

三、OpenRASP与其他安全方案的比较

1、传统安全方案

传统安全方案通常采用黑名单的方式对攻击进行识别和防御,但黑名单需要不断升级维护,而且无法应对未知漏洞的攻击。

2、WAF

WAF是一种基于规则引擎的Web应用防火墙,采用白名单的方式对请求进行过滤,可以对攻击进行拦截和记录,但WAF通常需要在反复的调整过程中才能适合特定应用,而且实现成本较高。

3、OpenRASP

OpenRASP能够全局的保护Web应用,拥有多样的检测规则和深度学习技术的支持,能够全面应对Web应用中的各种安全威胁。

四、OpenRASP的应用

1、SQL注入防御

在web.xml中配置OpenRASP的SQL注入检测,OpenRASP会在应用运行时进行动态保护,检测并拦截可能的SQL注入攻击,如下所示:

<filter>
  <filter-name>OpenRASP</filter-name> 
  <filter-class>com.baidu.openrasp.filter.PrepareStatementFilter</filter-class> 
  <init-param> 
    <param-name>plugins</param-name> 
    <param-value>sql,column&system.command</param-value> 
  </init-param>
</filter>

2、命令注入防御

在web.xml中配置OpenRASP的命令注入检测,OpenRASP将对HTTP请求进行监控,检测并记录可能的命令注入攻击,如下所示:

<filter>
  <filter-name>OpenRASP</filter-name> 
  <filter-class>com.baidu.openrasp.filter.CommandFilter</filter-class> 
  <init-param> 
    <param-name>plugins</param-name> 
    <param-value>system.command</param-value> 
  </init-param>
</filter>

3、文件上传防御

在web.xml中配置OpenRASP的文件上传检测,将对上传的文件进行检测,拦截可能的上传漏洞攻击,并防止服务器受到文件包含攻击,如下所示:

<filter>
  <filter-name>OpenRASP</filter-name> 
  <filter-class>com.baidu.openrasp.filter.MultiPartFilter</filter-class> 
  <init-param> 
    <param-name>plugins</param-name> 
    <param-value>file upload&file include</param-value> 
  </init-param> 
</filter>

五、总结

OpenRASP是一款全局性的应用安全解决方案,能够全面的保护Web应用免受各种漏洞攻击,其拦截和修复漏洞的能力,与其他安全方案相比具有更高的实时性和灵活性。在实际应用中,OpenRASP可以灵活的配置,通过与其他安全方案的集成,进一步提升安全防护能力。