OpenRASP v0.22 版本发布,性能提升与 SSRF 检测

栏目: Java · 发布时间: 6年前

内容简介:OpenRASP v0.22 版本发布,性能提升与 SSRF 检测

重大变更

  • 对于 Java 版本,SQLi/SSRF 检测算法改为Java原生实现,进一步提高性能

    • 通过在插件修改 algorithm.config 配置来控制检测逻辑

  • 开源协议由 BSD-3 切换为 Apache License 2.0,方便商用

  • 修改 context.parameter 获取逻辑

    • 当JSP脚本读取过参数,JS插件才能读取到。这样可以减少误报,还可以提高SQLi算法#1的性能

  • 支持过期日志自动删除功能,默认保留最近30天日志

    • 通过给 log4j 1.X 打补丁来实现

    • 升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml,程序会在启动时,自动生成新的

新增功能

  • 支持 JBoss 7.X

  • 支持在响应里插入 HTML 代码,可用于检测 CSRF/后台盲打,该功能默认关闭

  • rasp.properties 里的配置选项,除了 hooks.ignore 以外,开始支持动态更新,即修改后立即生效

  • 拦截攻击时,支持自定义响应状态码

    • 默认 400

  • 安全基线

    • 支持 Tomcat Directory Index 检查

  • 预编译JS代码,启动时间由原先的 8s 下降到 3s 左右

  • 增加调试开关,用于收集hook点进入次数、时间消耗等等

算法改进

  • 正式支持 SSRF 漏洞检测,包括以下三种场景

    • URL.openConnection

    • commons-httpclient

    • httpclient

API 变更

  • RASP.config() 接口改名为 RASP.config_set(),并增加相关调试日志

  • 增加 RASP.get_jsengine() 接口,用于获取JS引擎名称

Bug 修复

  • #84: request.setCharacterEncoding 编码问题

  • 解决因为没有写权限,导致 rasp-log4j.xml 释放失败的问题

    • 在新版本里,RaspInstall 会主动修改 rasp 目录权限

  • 基线检查日志,增加调用堆栈信息

    • 当应用使用了高权限数据库账号,方便定位具体代码

  • 重写 catalina.sh 脚本修改逻辑

    • Linux 下面,使用引号将 javaagent 参数包起来,避免路径有空格导致无法启动

    • 在修改的配置周围,增加类似 ### BEGIN OPENRASP ### 的标记


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

数据挖掘导论

数据挖掘导论

Pang-Ning Tan、Michael Steinbach、Vipin Kumar / 范明、范宏建 / 人民邮电出版社 / 2010-12-10 / 69.00元

本书全面介绍了数据挖掘,涵盖了五个主题:数据、分类、关联分析、聚类和异常检测。除异常检测外,每个主题都有两章。前一章涵盖基本概念、代表性算法和评估技术,而后一章讨论高级概念和算法。这样读者在透彻地理解数据挖掘的基础的同时,还能够了解更多重要的高级主题。 本书是明尼苏达大学和密歇根州立大学数据挖掘课程的教材,由于独具特色,正式出版之前就已经被斯坦福大学、得克萨斯大学奥斯汀分校等众多名校采用。 ......一起来看看 《数据挖掘导论》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

MD5 加密
MD5 加密

MD5 加密工具

SHA 加密
SHA 加密

SHA 加密工具