OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性

栏目: 软件资讯 · 发布时间: 6年前

内容简介:OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下: 重大变更 Java 版本 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后,OpenRASP 会自动...

OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品

更新如下:

重大变更

  • Java 版本

    • 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件

    • 待应用启动后,OpenRASP 会自动生成新的日志配置文件

    • Java 包名改为 com.baidu.rasp

    • 解决高版本 JDK 兼容性问题,ISSUE: rhino jdk8u162 兼容性问题 #98

    • 为了降低 Hook 点开发成本,Hook 框架改为 JavaAssist

  • RaspInstall - OpenRASP 自动安装程序

    • java -jar RaspInstall.jar -install /home/tomcat

    • java -jar RaspInstall.jar -uninstall /home/tomcat

    • 为了支持自动卸载,我们调整了 RaspInstall.jar 的命令行参数

算法变更

  • SQLi 检测算法 #2,默认关闭常量对比算法

    • 在真实业务里,经常有编码不规范的情况,会造成误报,e.g AND ((0='' OR 0='0')

  • 命令执行检测逻辑调整

    • 为了检测非常规的反序列化、命令执行漏洞,当命令执行来自非 HTTP 请求,也将会进入检测点

    • 适合检测 CVE-2016-8735CVE-2018-1270 等漏洞

新增功能

  • Java 版本增加 Ascii Logo,启动时打印

  • 增加 JDBC Prepared SQL Hook 点

  • 支持 Resin 3.X、4.X 服务器

  • 增加自定义编码配置,允许用户设置 context.parameter 的编码

  • 增加 jnotify 异常的获取

Bug 修复

  • 由 @园长MM 反馈

    • ProcessBuilder 存在绕过,我们将 Hook 点改为了更底层的 UNIXProcess、ProcessImpl 类

  • PHP 版本

    • 当文件不存在,file_put_contents 不会调用检测插件,已修复

    • 解决日志模块一处内存泄露问题


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上所述就是小编给大家介绍的《OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C语言接口与实现

C语言接口与实现

David R. Hanson / 郭旭 / 人民邮电出版社 / 2011-9 / 75.00元

《C语言接口与实现:创建可重用软件的技术》概念清晰、实例详尽,是一本有关设计、实现和有效使用C语言库函数,掌握创建可重用C语言软件模块技术的参考指南。书中提供了大量实例,重在阐述如何用一种与语言无关的方法将接口设计实现独立出来,从而用一种基于接口的设计途径创建可重用的API。 《C语言接口与实现:创建可重用软件的技术》是所有C语言程序员不可多得的好书,也是所有希望掌握可重用软件模块技术的人员......一起来看看 《C语言接口与实现》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

SHA 加密
SHA 加密

SHA 加密工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具