内容简介:OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下: 重大变更 Java 版本 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后,OpenRASP 会自动...
OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品
更新如下:
重大变更
Java 版本
在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件
待应用启动后,OpenRASP 会自动生成新的日志配置文件
Java 包名改为 com.baidu.rasp
解决高版本 JDK 兼容性问题,ISSUE: rhino jdk8u162 兼容性问题 #98
为了降低 Hook 点开发成本,Hook 框架改为 JavaAssist
RaspInstall - OpenRASP 自动安装程序
java -jar RaspInstall.jar -install /home/tomcat
java -jar RaspInstall.jar -uninstall /home/tomcat
为了支持自动卸载,我们调整了 RaspInstall.jar 的命令行参数
算法变更
SQLi 检测算法 #2,默认关闭常量对比算法
在真实业务里,经常有编码不规范的情况,会造成误报,e.g AND ((0='' OR 0='0')
命令执行检测逻辑调整
为了检测非常规的反序列化、命令执行漏洞,当命令执行来自非 HTTP 请求,也将会进入检测点
适合检测 CVE-2016-8735、CVE-2018-1270 等漏洞
新增功能
Java 版本增加 Ascii Logo,启动时打印
增加 JDBC Prepared SQL Hook 点
支持 Resin 3.X、4.X 服务器
增加自定义编码配置,允许用户设置 context.parameter 的编码
增加 jnotify 异常的获取
Bug 修复
由 @园长MM 反馈
ProcessBuilder 存在绕过,我们将 Hook 点改为了更底层的 UNIXProcess、ProcessImpl 类
PHP 版本
当文件不存在,file_put_contents 不会调用检测插件,已修复
解决日志模块一处内存泄露问题
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上所述就是小编给大家介绍的《OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 谈谈 Java 代码的兼容性
- 开源兼容性测试小工具:WebRTC Troubleshooting
- layui-v2.4.5 兼容性微调
- 我所遇过的移动端兼容性问题
- AmigaOS 3.1.4.1 发布,兼容性提高
- Angular 浏览器兼容性问题解决方案
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。