OpenRASP 拋棄了傳統防火牆依賴請求特徵檢測攻擊的模式,創造性的使用RASP技術(應用運行時自我保護),直接注入到被保護應用的服務中提供函數級別的實時防護,可以在不更新策略以及不升級被保護應用代碼的情況下檢測/防護未知漏洞,尤其適合大量使用開源組件的互聯網應用以及使用第三方集成商開發的金融類應用。
另外,OpenRASP 提供的IAST解決方案,相比於與傳統的DAST方案有著革命性提升。漏洞檢測無需動態爬蟲或者旁路代理,掃描更全面;結合應用探針準確的識別漏洞類型,通過針對性掃描大幅度提升檢測效率;商業版新增的動態污點追蹤能力,還可以在不掃描的情況下,預判介面是否存在漏洞。
OpenRASP 是經過開源社區大規模驗證過的產品,目前客戶數量已經過百,QQ群人數超過1400人。如果你在使用過程中遇到任何問題,請在官網找到技術討論群群號,並聯繫我們處理。
在這個版本里,我們增加了HTTP響應檢測點,第三方類庫版本採集,命令語法錯誤識別等高級功能;在用戶體驗方面,我們更增加 Kafka 日誌推送,合併IAST控制台到現有管理後台。具體請看發版紀要。
重大變更
IAST 掃描工具
- IAST 控制台合入現有管理後台,降低運維成本
- IAST 掃描器改為連接 panel 伺服器(以前是連接 agent 伺服器)
- IAST 掃描器使用 websocket 連接管理後台,不兼容 v1.3.0 之前的後台
PHP 版本
- 對於文件相關檢測點,若讀取文件以流協議開頭,將會觸發SSRF檢測,不會觸發文件讀寫檢測
- 受影響協議為: https/http/ftp
- 受影響函數為: file/readfile/file_get_content/fopen/copy/include
- 當
plugin.filter
關閉,文件相關檢測點將忽略 open_basedir 配置,繼續進入插件檢測
新增功能
通用改進
- 增加文件刪除測點
- 增加 SSRF 跳轉后檢測點,可檢測重綁定攻擊
- 增加 HTML 響應檢測點,默認每分鐘採樣5次
- 增加依賴庫信息採集,默認6小時採集一次
- Java POM 信息
- PHP composer.json
- 補全 SQL 異常檢測點
- PHP 增加 PostgreSQL、SQLite 異常監控
- Java 增加 PostgreSQL、SQLite、Oracle、SQLServer、HSQLDB、DB2 監控
- 弱口令列表支持遠程下發
- 加強單機版配置校驗
Java 版本
- 增加 Hibernate SQL 檢測點
- 增加 nio 檢測點
- 增加 SpringBoot 部分註解參數支持
PHP 版本
- SSRF 支持 IPv6 地址解析
- 基線檢查: 檢測web根目錄下是否有壓縮包、SQL等敏感文件
- 增加 mysql_db_query、mysql_unbuffered_db_query 檢測點
- 增加 print 檢測點
管理後台
- 新增
-s restart / -s stop / -s status
指令,可以重啟後台、關閉後台以及獲取狀態
- 支持主機設置備註,以及按照備註搜索
- 白名單支持備註
- 支持日誌寫 kafka
- 報警發送間隔改為前端配置
- 增加報警日誌去重,根據請求編號、堆棧MD5、攻擊類型計算
- 後台日誌增加大小、文件數量限制,可配置
檢測插件
- 增加任意文件刪除漏洞檢測
- 增加 header 注入檢測(如SQL注入、命令注入)
- 增加命令執行語法錯誤監控,以及可疑的注入檢測
- 增加 DNS Rebind 方式的 SSRF 攻擊
- 增加HTTP響應敏感信息泄漏檢查,如銀行卡、身份證、手機號
BUG 修復
Java 版本
- RaspInstall 安裝 rasp.jar 時,先重命名再寫入新文件
- 避免修改已經載入的 jar,可能會出現 mmap 問題
- 老文件以 uuid 隨機命名,支持多次安裝,會在啟動時統一刪除
PHP 版本
- 當後台下發配置不符合預期,主動上報異常日誌
- 修復 Kali 下面日誌只會上傳一條的問題,感謝 @億相逢 反饋
- 修復某些情況下,會出現多個
rasp-log
進程的問題
管理後台
- 客戶端版本聚合介面,沒有過濾主機在線狀態
- 增加重複白名單校驗