OpenRASP v0.40 发布,正式支持 PHP 7

栏目: 软件资讯 · 发布时间: 6年前

内容简介:重大变更 Java 版本 命令执行 hook 点,命令参数统一改为字符串形式 所有报警消息改为英文,下个版本增加翻译支持 PHP 版本 所有报警消息改为英文,下个版本增加翻译支持 新增功能 PHP 版本 正式支持 PHP 7.0~7....

重大变更

Java 版本

  • 命令执行 hook 点,命令参数统一改为字符串形式

  • 所有报警消息改为英文,下个版本增加翻译支持

PHP 版本

  • 所有报警消息改为英文,下个版本增加翻译支持

新增功能

PHP 版本

  • 正式支持 PHP 7.0~7.2

  • 增加对 SQL prepared statement 的支持

  • 使用 v8 default platform 替换自定义 platform,提供更通用的后台任务能力和错误溯源能力

Java 版本

  • 增加 rename hook 点

算法变更

  • 命令执行

    • 若完全没有命令执行需求请手动修改 command_other 算法开关为 block

    • 此开关不影响反序列化命令执行的拦截,或者其他算法的检测

    • 增加对 FreeMarker 模板执行命令的识别

    • 默认不再拦截所有的命令执行

  • SSRF

    • 增加对特殊协议的检测,以及对应的检测开关。包括 php://file:// 等等

    • 用户输入匹配算法,增加对 127.X.X.X 的识别

    • 增加 @dos_man 反馈的一个 dnslog 地址 *.tu4.org

  • 文件目录遍历

    • 修复一个 @Leesec 报告的 /../../ 检出绕过问题

  • PHP 堆栈检测算法

    • 修复 @Ezreal 报告的一个 call\_user\_func 误报问题

  • 后门上传检测

    • 增加对 rename 的监控,防止通过重命名写入 webshell

  • SQL 注入

    • 增加全局LRU缓存,当检测结果为 ignore 时不再重复检测,以提高性能

    • 用户输入匹配算法,参数最短长度可配置

    • 增加对 into outfile 的检测,并增加相应的检测开关

Bug 修复

PHP 版本

  • 增加60多个单元测试,修复2处参数解析错误问题

  • 优化不同协议的处理逻辑,若协议不支持写操作,将不再进入检测插件

  • 修复一个左右斜杠混用,导致的路径精简失败的问题

其他变更


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上所述就是小编给大家介绍的《OpenRASP v0.40 发布,正式支持 PHP 7》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

期货趋势程序化交易方法

期货趋势程序化交易方法

马文胜 编 / 中国财政经济 / 2008-1 / 42.00元

《期货趋势程序化交易方法》可作为学习期货行业的教程。中国期货行业非常重视期货人才队伍的建设,无论是在抓紧推进期货分析师的认证体系建设、提升期货分析师的执业水平上,还是在专业人才的后续教育上。 要想在期货市场上长期生存并保持稳定的获利,必须在充分认识市场的基础上,建立一个有效的系统化的手段和程序化的方法,把一切的复杂性和不确定性全部加以量化,使所有的交易有序而直观,才能最终达到低风险、低回报。一起来看看 《期货趋势程序化交易方法》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

MD5 加密
MD5 加密

MD5 加密工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器