OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性

内容简介：OpenRASP v0.31 已发布，OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下： 重大变更 Java 版本 在升级前，用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后，OpenRASP 会自动...

OpenRASP v0.31 已发布，OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品

更新如下：

重大变更

• Java 版本

• 在升级前，用户需要手动删除 rasp/conf/rasp-log4j.xml 文件

• 待应用启动后，OpenRASP 会自动生成新的日志配置文件

• Java 包名改为 com.baidu.rasp

• 解决高版本 JDK 兼容性问题，ISSUE: rhino jdk8u162 兼容性问题 #98

• 为了降低 Hook 点开发成本，Hook 框架改为 JavaAssist

• RaspInstall - OpenRASP 自动安装程序

• java -jar RaspInstall.jar -install /home/tomcat

• java -jar RaspInstall.jar -uninstall /home/tomcat

• 为了支持自动卸载，我们调整了 RaspInstall.jar 的命令行参数

算法变更

• SQLi 检测算法 #2，默认关闭常量对比算法

• 在真实业务里，经常有编码不规范的情况，会造成误报，e.g AND ((0='' OR 0='0')

• 命令执行检测逻辑调整

• 为了检测非常规的反序列化、命令执行漏洞，当命令执行来自非 HTTP 请求，也将会进入检测点

• 适合检测 CVE-2016-8735、CVE-2018-1270 等漏洞

新增功能

• Java 版本增加 Ascii Logo，启动时打印

• 增加 JDBC Prepared SQL Hook 点

• 支持 Resin 3.X、4.X 服务器

• 增加自定义编码配置，允许用户设置 context.parameter 的编码

• 增加 jnotify 异常的获取

Bug 修复

• 由 @园长MM 反馈

• ProcessBuilder 存在绕过，我们将 Hook 点改为了更底层的 UNIXProcess、ProcessImpl 类

• PHP 版本

• 当文件不存在，file_put_contents 不会调用检测插件，已修复

• 解决日志模块一处内存泄露问题

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

以上所述就是小编给大家介绍的《OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持！

查看所有标签

猜你喜欢:

• 谈谈 Java 代码的兼容性
• 开源兼容性测试小工具：WebRTC Troubleshooting
• layui-v2.4.5 兼容性微调
• 我所遇过的移动端兼容性问题
• AmigaOS 3.1.4.1 发布，兼容性提高
• Angular 浏览器兼容性问题解决方案

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。