OpenRASP v1.3.4 发布，修复多个问题-低调大师

OpenRASP v1.3.4 发布，修复多个问题

2020-07-08 644

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性的使用RASP技术（应用运行时自我保护），直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞，尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

另外，OpenRASP 提供的IAST解决方案，相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理，扫描更全面；结合应用探针准确的识别漏洞类型，通过针对性扫描大幅度提升检测效率；商业版新增的动态污点追踪能力，还可以在不扫描的情况下，预判接口是否存在漏洞。

OpenRASP 是经过开源社区大规模验证过的产品，目前客户数量已经过百，QQ群人数超过1700人。如果你在使用过程中遇到任何问题，请在官网找到技术讨论群群号，并联系我们处理。

在这个版本里，我们修复了多个问题。

优化改进

PHP 版本

修复某些 PHP 5.3 的环境，获取到的 header 可能为空的问题
修复插件里正则写错时，会抛出异常的问题
修复在云控连接成功前，就启动web目录敏感文件检测，导致匹配错误的问题
加强 array_map 兼容性，避免第一个参数为空时打印多余日志

Java 版本

增加宝兰德BES支持，感谢 @枫舞蝶殇提交的补丁
修复某些情况下，Tomcat 9 启动时候可能会卡顿的问题
修复某些 yum 安装的 tomcat 服务器，RaspInstall 会失败的问题
增加 yaml 反序列化白名单，感谢 @kkskk 提交的补丁
修复 SpringBoot 某些情况下采集不到依赖的问题
对于非HTTP请求，修复报警里缺少资产IP的问题

检测插件

SQL注入: 内部有误报场景，默认关闭十六进制字符串检查
任意文件写入: 拦截基于反序列化写webshell的操作，如fastjson漏洞

管理后台

应用快速切换，改为动态搜索，并展示前100个匹配结果
攻击事件详情增加RASP版本展示
支持自定义日志路径，配置名称为 LogPath
主机搜索接口，改为批量搜索模式
支持保留插件配置，开源版本仅保留 action 字段
支持导出应用数据，并导入到商业版
支持清理离线超过N天的主机，默认是1天，可配置
修复JSON请求数据展示不正确的问题
修复当客户端时间不正确，后台不会发出报警的问题
修复弱口令基线报警，未能正确展示数据库类型的问题

微信关注我们

原文链接：https://www.oschina.net/news/117021/openrasp-1-3-4-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

baigo SSO v4.0 beta-3 发布，单点登录系统

修复后台管理中，插件会自动卸载的 bug 修复 api 通信时，IP 验证的错误修复安装程序中，PDO 环境检测不完善的问题修复应用无法限制 IP 访问的问题修复注册设置中，无法设定允许注册的邮箱、禁止注册的邮箱、禁止注册的用户名问题增加同步组功能，让应用之间的同步更加灵活下载地址 Github https://github.com/baigoStudio/baigoSSO 开源中国 - 码云 https://gitee.com/baigo/baigoSSO baigo SSO 是一款基于 HTTP 协议的单点登录系统，baigo SSO 以简单为设计、开发的宗旨，安装部署简单、使用简单。baigo SSO 没有复杂的菜单，没有深奥的概念，没有晦涩难懂的名词，一切崇尚简单。一个账号、全网通行利用 baigo SSO，可以便捷的实现多站点的用户整合，用户使用一个账号，便可以全网通行，无需在多个应用之间重复注册、登录。基于最流行的语言开发 baigo SSO 是采用 PHP + MySQL 开发的单点登录系统。PHP 与 MySQL 可以免费使用，流行广泛，可以运行在 L...

2020-07-08

830

云栖号资讯：【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！云计算和大数据的结合可以说是相辅相成，因为云计算为大数据提供了可以弹性扩展相对便宜的存储空间和计算资源，使得中小企业也可以像大型企业一样通过云计算来完成大数据分析。大数据是对数据进行专业化处理，最终根据我们的需要分析加工形成我们能够理解的可视化资料。大数据与云计算的关系就像一枚硬币的正反面一样密不可分。大数据的对数据进行专业化处理的过程离不开云计算的支持。大数据必然无法用单台的计算机进行处理，必须采用分布式架构。它的特色在于对海量数据进行分布式数据挖掘。但它必须依托云计算的分布式处理、分布式数据库和云存储、虚拟化技术。大数据分析常和云计算联系到一起，因为实时的大型数据集分析需要框架来向数十、数百或甚至数千的电脑分配工作。并且，大数据需要特殊的技术，以有效地处理大量的容忍经过时间内的数据。适用于大数据的技术，包括大规模并行处理数据库、数据挖掘、分布式文件系统、分布式数据库、云计算平台、互联网和可扩展的存储系统。大数据的处理技术与提供云服务的技术是不尽相同的，但是又有所交集。可以说，云服...

2020-07-08

583

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。