OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。
另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,扫描更全面;结合应用探针准确的识别漏洞类型,通过针对性扫描大幅度提升检测效率;商业版新增的动态污点追踪能力,还可以在不扫描的情况下,预判接口是否存在漏洞。
OpenRASP 是经过开源社区大规模验证过的产品,目前客户数量已经过百,QQ群人数超过1400人。如果你在使用过程中遇到任何问题,请在官网找到技术讨论群群号,并联系我们处理。
在这个版本里,我们增加了HTTP响应检测点,第三方类库版本采集,命令语法错误识别等高级功能;在用户体验方面,我们更增加 Kafka 日志推送,合并IAST控制台到现有管理后台。具体请看发版纪要。
重大变更
IAST 扫描工具
- IAST 控制台合入现有管理后台,降低运维成本
- IAST 扫描器改为连接 panel 服务器(以前是连接 agent 服务器)
- IAST 扫描器使用 websocket 连接管理后台,不兼容 v1.3.0 之前的后台
PHP 版本
- 对于文件相关检测点,若读取文件以流协议开头,将会触发SSRF检测,不会触发文件读写检测
- 受影响协议为: https/http/ftp
- 受影响函数为: file/readfile/file_get_content/fopen/copy/include
- 当
plugin.filter 关闭,文件相关检测点将忽略 open_basedir 配置,继续进入插件检测
新增功能
通用改进
- 增加文件删除测点
- 增加 SSRF 跳转后检测点,可检测重绑定攻击
- 增加 HTML 响应检测点,默认每分钟采样5次
- 增加依赖库信息采集,默认6小时采集一次
- Java POM 信息
- PHP composer.json
- 补全 SQL 异常检测点
- PHP 增加 PostgreSQL、SQLite 异常监控
- Java 增加 PostgreSQL、SQLite、Oracle、SQLServer、HSQLDB、DB2 监控
- 弱口令列表支持远程下发
- 加强单机版配置校验
Java 版本
- 增加 Hibernate SQL 检测点
- 增加 nio 检测点
- 增加 SpringBoot 部分注解参数支持
PHP 版本
- SSRF 支持 IPv6 地址解析
- 基线检查: 检测web根目录下是否有压缩包、SQL等敏感文件
- 增加 mysql_db_query、mysql_unbuffered_db_query 检测点
- 增加 print 检测点
管理后台
- 新增
-s restart / -s stop / -s status 指令,可以重启后台、关闭后台以及获取状态
- 支持主机设置备注,以及按照备注搜索
- 白名单支持备注
- 支持日志写 kafka
- 报警发送间隔改为前端配置
- 增加报警日志去重,根据请求编号、堆栈MD5、攻击类型计算
- 后台日志增加大小、文件数量限制,可配置
检测插件
- 增加任意文件删除漏洞检测
- 增加 header 注入检测(如SQL注入、命令注入)
- 增加命令执行语法错误监控,以及可疑的注入检测
- 增加 DNS Rebind 方式的 SSRF 攻击
- 增加HTTP响应敏感信息泄漏检查,如银行卡、身份证、手机号
BUG 修复
Java 版本
- RaspInstall 安装 rasp.jar 时,先重命名再写入新文件
- 避免修改已经加载的 jar,可能会出现 mmap 问题
- 老文件以 uuid 随机命名,支持多次安装,会在启动时统一删除
PHP 版本
- 当后台下发配置不符合预期,主动上报异常日志
- 修复 Kali 下面日志只会上传一条的问题,感谢 @亿相逢 反馈
- 修复某些情况下,会出现多个
rasp-log 进程的问题
管理后台
- 客户端版本聚合接口,没有过滤主机在线状态
- 增加重复白名单校验
