百度开源项目OpenRASP快速上手指南

2019 年 2 月 12 日 黑客技术与网络安全

来自:FreeBuf.COM,作者:陆仁甲

既然是快速上手指南,相信大家看完之后在1个小时之内就能安装部署到位。

下面开始正题:

一、功能介绍

1.Web 2.0 攻击检测, owasp top 10 漏洞的检查与拦截,同时输出日志信息。

2.服务器安全基线检查。

3.应用加固。

二、rasp与waf区别

WAF(Web Application Firewall),应用防火墙;

RASP(Runtime application self-protection),运行时应用自我保护。

三、优势与劣势

优势1:RASP几乎没有误报情况;

优势2:RASP可以发现更多攻击;

优势3:RASP可以对抗未知漏洞。

四、安装与配置

虚拟机环境说明:

操作系统 Debian9
PHP版本 7.0.27
nginx版本 1.10.2
openrasp版本 1.0 rc版

如果你要开启远程管理,请先参考管理后台 - 添加主机 文档,找到appid、appsecret、backend_url三个关键参数,然后执行如下命令:

php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX

安装成功之后,在phpinfo()中能看到如下信息:

在http响应头中能看到如下信息:

下面是黑客攻击web服务器之后的拦截效果图:

五、使用中遇到的问题

问题一:RCE 远程代码执行没有被拦截

如下图:

http://192.168.140.128:8010/vuls/rce.php?code=system('whoami')

被拦截了,但是

http://192.168.140.128:8010/vuls/rce.php?code=echo php_uname(); 

没有被拦截。

结论:openrasp拦截远程命令执行漏洞,但是远程代码执行漏洞不拦截。

问题二:XXE 漏洞没有被拦截

如下图:

六、漏洞拦截能力测试清单

漏洞类型 是否能拦截
Sql注入漏洞
Xss跨站漏洞 不能
文件上传漏洞
Ssrf漏洞
XXE漏洞 不能
远程命令执行
远程代码执行 不能
Java反序列化漏洞
Lfi本地文件包含

七、管理后台的安装和配置

安装管理后台之前需要先安装ElasticSearch和MongoDB两种数据库;数据库的要求是:

MongoDB >= 3.6;ElasticSearch > 5.6;管理后台下载地址是:

https://github.com/baidu/openrasp/releases/download/v1.0.0-RC1/rasp-cloud.tar.gz

下载之后解压缩,具体配置请参考:https://rasp.baidu.com/doc/install/panel.html。

配置成功之后用浏览器打开后台地址并登陆,截图如下:

备注说明:管理后台可以单独放在内网的一台服务器中,推荐使用centos6系统。

比如在内网的web服务器如nginx,apache,tomcat中大量部署openrasp,只需要一台服务器部署管理后台就可以查看其它web服务器的拦截日志信息,方便集中统一管理openrasp的日志信息。

八、个人点评

Openrasp作为一款有别于waf的防御工具,虽然漏洞的拦截能力有待提高,但对于中小企业来说是一款不错的owasp top 10防御工具,优点是免费开源并支持二次开发,同时支持在内网中大量部署并能集中管理查看日志信息。



●编号800,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓
 

Linux学习

更多推荐25个技术类微信公众号

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

登录查看更多
5

相关内容

PHP 是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入 HTML 文档的脚本语言,语言的风格有类似于 C 语言,被广泛的运用。PHP 具有非常强大的功能,所有的 CGI 的功能 PHP 都能实现,而且支持几乎所有流行的数据库以及操作系统。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
专知会员服务
109+阅读 · 2020年3月12日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
69+阅读 · 2020年1月17日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
资源|Blockchain区块链中文资源阅读列表
专知会员服务
43+阅读 · 2019年11月20日
TensorFlow 2.0 学习资源汇总
专知会员服务
66+阅读 · 2019年10月9日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
PHP使用Redis实现订阅发布与批量发送短信
安全优佳
7+阅读 · 2019年5月5日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
资源 | GitHub上的五大开源机器学习项目
机器之心
9+阅读 · 2017年11月9日
Adversarial Transfer Learning
Arxiv
12+阅读 · 2018年12月6日
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
A Survey on Deep Transfer Learning
Arxiv
11+阅读 · 2018年8月6日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
专知会员服务
109+阅读 · 2020年3月12日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
69+阅读 · 2020年1月17日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
资源|Blockchain区块链中文资源阅读列表
专知会员服务
43+阅读 · 2019年11月20日
TensorFlow 2.0 学习资源汇总
专知会员服务
66+阅读 · 2019年10月9日
相关资讯
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
PHP使用Redis实现订阅发布与批量发送短信
安全优佳
7+阅读 · 2019年5月5日
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
资源 | GitHub上的五大开源机器学习项目
机器之心
9+阅读 · 2017年11月9日
Top
微信扫码咨询专知VIP会员