一、RSAP簡介

1. Waf

簡介: 它采用請求特征檢測攻擊方式,waf和防火墻就好比如一座大廈門口的保安，你要進(jìn)入大廈,waf和防火墻就會在你進(jìn)入大廈時進(jìn)行安檢，檢查到你攜帶刀槍炸藥、鴉片大麻，就會把你攔截下來，如果沒有那就放你進(jìn)入，至于你進(jìn)入大廈后所做的一些行為就不會再去檢測。

最近幾年，攻擊手段開始變得復(fù)雜，攻擊面也越來越廣。傳統(tǒng)的安全防護(hù)手段，WAF、IDS(入侵檢測系統(tǒng))，大多是基于規(guī)則，已經(jīng)不能滿足企業(yè)對安全的基本需求。對所有的請求都匹配規(guī)則，拖慢服務(wù)器性能。

產(chǎn)品形態(tài): 硬件、軟件、云。

image

2. RASP

簡介: 好比給每個進(jìn)入大廈的人都配了一名私人保鏢，不僅僅是在入口處設(shè)置保安檢測,當(dāng)你進(jìn)入這座大廈后,你的一舉一動都會被它監(jiān)測到,當(dāng)你要揮起拳頭,下一步準(zhǔn)備打人時,他就會在你揮拳時把你攔截下來。

只對關(guān)鍵的請求點(diǎn)檢測,不是所有請求都匹配所有規(guī)則，

產(chǎn)品形態(tài): 軟件，運(yùn)行在應(yīng)用程序內(nèi)部，應(yīng)用程序融為一體，實(shí)時監(jiān)測、阻斷攻擊，使程序自身擁有自保護(hù)的能力。

二、功能清單

1. RASP可以檢測那些漏洞

攻擊類型                  RASP支持               WAF支持 
跨站腳本（XSS）              ?                        ? 
命令注入                    ?                       ? 
ShellShock                  ?                       ? 
未經(jīng)處理的異常                 ?                      ? 
缺少內(nèi)容類型                 ?                        ? 
缺少Accept標(biāo)頭              ?                       ? 
不受支持的方法             ?                       ? 
漏洞掃描                    ?                       ? 
方法調(diào)用失敗                  ?                       ? 
敏感數(shù)據(jù)泄露                  ?                       ? 

三、競品分析

調(diào)研了一些國內(nèi)做RASP的廠商,詳情如下圖:

image

四、搭建流程

搭建OpenRASP做個小測試,先搭建一個用于測試的靶場,

1. 搭建測試環(huán)境

1、為了簡化安裝，使用docker方式進(jìn)行

    curl -sSL https://get.daocloud.io/docker | sh

2、dockers安裝mysql數(shù)據(jù)庫

    docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=123 -d -i -p 3309:3306  mysql:5.6

3、此環(huán)境已經(jīng)上傳docker，無需提前下載直接運(yùn)行即可。

    docker run --name permeate_test --link mysqlserver:db  -d -i  -p 8888:80 –p 8086:8086 daxia/websafe:latest  

4、通過瀏覽器訪問http://localhost:8888，便可以打開安裝協(xié)議頁面，點(diǎn)擊我同意此協(xié)議，填寫安裝配置，設(shè)置數(shù)據(jù)庫地址為db，安裝MySQL數(shù)據(jù)庫時我們已經(jīng)設(shè)置密碼為123，這里也填寫123，參考頁面如下：

image

image

image

2. 安裝OpenRASP

1、安裝ES服務(wù)

    docker run --name elasticsearch -d -p 9200:9200 -p 9300:9300 elasticsearch:5.6

2、安裝mongodb

    docker run -itd --name mongo -p 27017:27017 mongo 

3、下載rasp-cloud

    wget https://packages.baidu.com/app/openrasp/release/latest/rasp-cloud.tar.gz

4、修改配置文件，把127.0.0.1更換為本機(jī)IP

    vim rasp-cloud-2021-02-07/conf/app.conf

image

5、啟動后臺管理系統(tǒng)

    ./rasp-cloud-2021-02-07/rasp-cloud -d

6、訪問后臺

    http://172.26.81.233:8086/

image

7、點(diǎn)擊添加主機(jī),然后選擇你對應(yīng)的語言去下載安裝包,我這里是PHP,所以選擇PHP服務(wù)器.

下載 PHP 安裝包

curl https://packages.baidu.com/app/openrasp/release/1.3.6/rasp-php-linux.tar.bz2 -o rasp-php-linux.tar.bz2  
tar -xvf rasp-php-linux.tar.bz2  
cd rasp-\*/

install.php 進(jìn)行安裝

./install.php

默認(rèn)安裝路徑為 /opt/rasp，可替換為其他路徑

php install.php -d /opt/rasp --heartbeat 90 --app-id c0c523ce311cef92c6f3e9eee306777c99010ce7 --app-secret 0njm1mPafaCGV3cyY15BnOauu4BeqqlC62auGpU8uJk --backend-url http://172.26.81.223:8086/

重啟 PHP-FPM 或者 Apache 服務(wù)器

service php-fpm restart

apachectl -k restart

image

五、實(shí)踐案例

我們的靶場已經(jīng)添加成功了,現(xiàn)在模擬黑客手段攻擊靶場,檢測一下OpenRASP的防護(hù)能力,這里我用工具burp suite去掃描我的靶場,可以看到下圖掃到了XSS跨站腳本,密碼明文傳輸,SQL注入

image

OpenRASP的攻擊事件中記錄了3334條記錄,

image

漏洞列表中可以看到它攔截到的漏洞,

image

默認(rèn)是只安裝防護(hù)插件,還可以下載iast交互式掃描插件,

image

作者: 陳婷

發(fā)布時間:2021年3月21日