RASP相关的技术实现和产品介绍

内容简介：RASP相关的技术实现和产品介绍

介绍

自从2014年Gartner将RASP列为应用领域的关键趋势后，互联网企业愈来认识到其是在边界模糊后的一种稳健的解决方案。列位读者首先需要认识到RASP和WAF并不是同一纬度的产品，“安全技术可以“內建”于应用自身或者运行环境”的特点可以提供：

1.        应用的实时热补丁：无需在出现漏洞时修改源代码，修改代理程序添加防护代码即可。

2.        从根本上阻断漏洞：不再考虑规则的被绕过等，直接在执行层面分析敏感函数是否被调用，在应用程序内部基于调用栈调用检测模型阻断0DAY。

3.        实现应用的全生命周期监控，在可用性、不可抵赖性实现审计和日志收集功能。

4.        灵活集成SIEM工具，发挥代理的灵活优势。

缺点为会造成性能的消耗增加、应用稳定性下降，上层业务不可知，模式以监控记录居多，阻断模式很少。

产品

国内有百度开源的OpenRASP产品，实现对 JAVA 容器（未来会推出 php 版本）的支持。可以实现攻击检测、CVE漏洞覆盖、服务器安全基线检查、支持SIEM插件。另外一款较早，为javaopenrasp，曾在kcon上发布过，似乎最近并未更新。商业产品为蓝海讯通发布的oneasp，官网已经打不开。国外有：HP: HP Application Defender、WARATEK: ApplicationSecurity for Java、OWASP: AppSensor 、Shandowd: Shadowd 、Prevoty: Prevoty Runtime Application Security

技术实现

PHP RASP方案是通过扩展模块实现对规则对应的恶意函数行为、上下文内容的判断和阻断。而JAVA的技术方案相对已经成熟，包括直接修改jvm（Waratek产品）和使用jvm编程接口（Jvm tool interface）。JDK1.5即提供JVM TI技术，在程序main方法运行前， jvm 启动时 添加-javaagent:参数调用使用lang.Instrument包编写agent程序后，以premain方式从而实现对java类的动态操作。 而 jdk1.6agentmain 的方式提供对 虚拟机启动后 的动态 instrument 和 nativecode 的 instrument 。

技术实现方面，一般是使用 premain 方式接入程序，通过实现transform接口的ClassTransformer方法

测试用例如下：

可以看到 rasp 的鲜明技术特点有：

1.      可以通过 inst 获取 VM 的各项信息；

2.      agent 和 main 程序使用同一个 classloader ，如果程序自定义加载器则需要进行适配；

3.      类的 ProtectionDomain 相同，并不能增减实现权限提升。

4.    通过 操 作类的字节码返回 JVM 执行，具体可以使用 asm 或者 Javassist 技术实现。

接下来就是实现具体的adapter和filter，实现业务层面操作和功能，不再赘述。已知防护层面较为简单的实现是有：

SQL注入、CSRF、XSS、SSRF、任意文件读取下载、任意文件删除、可执行文件上传、命令执行(OS 注入、Struts2命令执行，反序列化)。

代码编制完成后，在 mf 文件配置 premain-class 为 agent 类名，通过设置- javaagent 即可实施代理监控。

总的来说从工程化、系统化能力方面。目前针对中间件 rasp实现 还是言过其实，技术并不复杂，规则还是开发的核心，当前阶段并不能做到 “ 自适应 ” 的预测、预防、监测、响应，但这正是它后期将要蓬勃发展的着力点。

参考资料：

1.        《JAVA SE 6中新增的Instrumentation功能》 http://blog.csdn.net/jl19861101/article/details/4624795

2.        《RASP技术分析》 http://blog.nsfocus.net/rasp-tech/

3.        《OpenRASP技术分析》 http://blog.nsfocus.net/openrasp-tech/

4.        《Java中的RASP实现》 http://www.solinx.co/archives/950

5.        《java.lang.instrument 学习（一）》 http://blog.csdn.net/ykdsg/article/details/12080071

6.        《深入字节码 — 计算方法执行时间》 https://www.cnblogs.com/sunysen

7. https://github.com/linxin26/javarespdemo

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• MySQL InnoDB 事务实现过程相关内容的概述
• Vue 源码剖析 —— 变化侦测相关 API 实现原理
• 决策树相关算法——XGBoost原理分析及实例实现(三)
• 决策树相关算法——XGBoost原理分析及实例实现(二)
• 关于 PDD 员工发帖溯源联想到的相关技术与实现
• utf-16转换至utf-8相关知识及golang实现总结

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。