一、RSAP簡(jiǎn)介

1. Waf

簡(jiǎn)介: 它采用請(qǐng)求特征檢測(cè)攻擊方式,waf和防火墻就好比如一座大廈門(mén)口的保安，你要進(jìn)入大廈,waf和防火墻就會(huì)在你進(jìn)入大廈時(shí)進(jìn)行安檢等孵，檢查到你攜帶刀槍炸藥影兽、鴉片大麻，就會(huì)把你攔截下來(lái)舰始，如果沒(méi)有那就放你進(jìn)入崇棠，至于你進(jìn)入大廈后所做的一些行為就不會(huì)再去檢測(cè)。

最近幾年丸卷，攻擊手段開(kāi)始變得復(fù)雜枕稀，攻擊面也越來(lái)越廣。傳統(tǒng)的安全防護(hù)手段，WAF萎坷、IDS(入侵檢測(cè)系統(tǒng))凹联，大多是基于規(guī)則，已經(jīng)不能滿足企業(yè)對(duì)安全的基本需求哆档。對(duì)所有的請(qǐng)求都匹配規(guī)則蔽挠，拖慢服務(wù)器性能。

產(chǎn)品形態(tài): 硬件虐呻、軟件象泵、云。

image

2. RASP

簡(jiǎn)介: 好比給每個(gè)進(jìn)入大廈的人都配了一名私人保鏢斟叼，不僅僅是在入口處設(shè)置保安檢測(cè),當(dāng)你進(jìn)入這座大廈后,你的一舉一動(dòng)都會(huì)被它監(jiān)測(cè)到,當(dāng)你要揮起拳頭,下一步準(zhǔn)備打人時(shí),他就會(huì)在你揮拳時(shí)把你攔截下來(lái)偶惠。

只對(duì)關(guān)鍵的請(qǐng)求點(diǎn)檢測(cè),不是所有請(qǐng)求都匹配所有規(guī)則，

產(chǎn)品形態(tài): 軟件朗涩，運(yùn)行在應(yīng)用程序內(nèi)部忽孽，應(yīng)用程序融為一體，實(shí)時(shí)監(jiān)測(cè)谢床、阻斷攻擊兄一，使程序自身?yè)碛凶员Ｗo(hù)的能力。

二识腿、功能清單

1. RASP可以檢測(cè)那些漏洞

攻擊類型                  RASP支持               WAF支持 
跨站腳本（XSS）              ?                        ? 
命令注入                    ?                       ? 
ShellShock                  ?                       ? 
未經(jīng)處理的異常                 ?                      ? 
缺少內(nèi)容類型                 ?                        ? 
缺少Accept標(biāo)頭              ?                       ? 
不受支持的方法             ?                       ? 
漏洞掃描                    ?                       ? 
方法調(diào)用失敗                  ?                       ? 
敏感數(shù)據(jù)泄露                  ?                       ? 

三出革、競(jìng)品分析

調(diào)研了一些國(guó)內(nèi)做RASP的廠商,詳情如下圖:

image

四、搭建流程

搭建OpenRASP做個(gè)小測(cè)試,先搭建一個(gè)用于測(cè)試的靶場(chǎng),

1. 搭建測(cè)試環(huán)境

1渡讼、為了簡(jiǎn)化安裝骂束，使用docker方式進(jìn)行

    curl -sSL https://get.daocloud.io/docker | sh

2、dockers安裝mysql數(shù)據(jù)庫(kù)

    docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=123 -d -i -p 3309:3306  mysql:5.6

3成箫、此環(huán)境已經(jīng)上傳docker展箱，無(wú)需提前下載直接運(yùn)行即可。

    docker run --name permeate_test --link mysqlserver:db  -d -i  -p 8888:80 –p 8086:8086 daxia/websafe:latest  

4蹬昌、通過(guò)瀏覽器訪問(wèn)http://localhost:8888混驰，便可以打開(kāi)安裝協(xié)議頁(yè)面，點(diǎn)擊我同意此協(xié)議皂贩，填寫(xiě)安裝配置栖榨，設(shè)置數(shù)據(jù)庫(kù)地址為db，安裝MySQL數(shù)據(jù)庫(kù)時(shí)我們已經(jīng)設(shè)置密碼為123明刷，這里也填寫(xiě)123婴栽，參考頁(yè)面如下：

image

image

image

2. 安裝OpenRASP

1、安裝ES服務(wù)

    docker run --name elasticsearch -d -p 9200:9200 -p 9300:9300 elasticsearch:5.6

2遮精、安裝mongodb

    docker run -itd --name mongo -p 27017:27017 mongo 

3居夹、下載rasp-cloud

    wget https://packages.baidu.com/app/openrasp/release/latest/rasp-cloud.tar.gz

4败潦、修改配置文件，把127.0.0.1更換為本機(jī)IP

    vim rasp-cloud-2021-02-07/conf/app.conf

image

5准脂、啟動(dòng)后臺(tái)管理系統(tǒng)

    ./rasp-cloud-2021-02-07/rasp-cloud -d

6劫扒、訪問(wèn)后臺(tái)

    http://172.26.81.233:8086/

image

7、點(diǎn)擊添加主機(jī),然后選擇你對(duì)應(yīng)的語(yǔ)言去下載安裝包,我這里是PHP,所以選擇PHP服務(wù)器.

下載 PHP 安裝包

curl https://packages.baidu.com/app/openrasp/release/1.3.6/rasp-php-linux.tar.bz2 -o rasp-php-linux.tar.bz2  
tar -xvf rasp-php-linux.tar.bz2  
cd rasp-\*/

install.php 進(jìn)行安裝

./install.php

默認(rèn)安裝路徑為 /opt/rasp狸膏，可替換為其他路徑

php install.php -d /opt/rasp --heartbeat 90 --app-id c0c523ce311cef92c6f3e9eee306777c99010ce7 --app-secret 0njm1mPafaCGV3cyY15BnOauu4BeqqlC62auGpU8uJk --backend-url http://172.26.81.223:8086/

重啟 PHP-FPM 或者 Apache 服務(wù)器

service php-fpm restart

apachectl -k restart

image

五沟饥、實(shí)踐案例

我們的靶場(chǎng)已經(jīng)添加成功了,現(xiàn)在模擬黑客手段攻擊靶場(chǎng),檢測(cè)一下OpenRASP的防護(hù)能力,這里我用工具burp suite去掃描我的靶場(chǎng),可以看到下圖掃到了XSS跨站腳本,密碼明文傳輸,SQL注入

image

OpenRASP的攻擊事件中記錄了3334條記錄,

image

漏洞列表中可以看到它攔截到的漏洞,

image

默認(rèn)是只安裝防護(hù)插件,還可以下載iast交互式掃描插件,

image

作者: 陳婷

發(fā)布時(shí)間:2021年3月21日