内容简介:OpenRASP v0.41 正式发布了,包含如下重大变更 Java 版本 block.url 配置选项改名为 block.redirect_url,并支持模板化配置 即自动替换模板里的 %request_id% 关键词为当前请求ID PHP 版本 openrasp.block_url 配...
OpenRASP v0.41 正式发布了,包含如下重大变更
Java 版本
block.url配置选项改名为block.redirect_url,并支持模板化配置即自动替换模板里的
%request_id%关键词为当前请求ID
PHP 版本
openrasp.block_url配置选项改名为openrasp.block_redirect_url并支持模板化配置,同 Java 版本
所有日志时间改为系统时间,不再使用 PHP 时区里的时间
解决 OpenRASP 报警日志跟 nginx/apache 访问日志无法一一对应的问题
删除 webshell_include 检测点,统一使用JS插件检测
JS API 接口
对于Java服务器,appBasePath 不再指向 webapps 目录,改为应用部署路径,比如
/tomcat/webapps/vulnsRASP.sql_tokenize 数组元素改为字典,并增加token起始坐标、token结束坐标两个参数
改进后,
sqli_userinput算法只需要再执行一遍 tokenize在有攻击的情况下,大幅度提升性能
新增功能
Java 版本
为 JBoss 增加基线检查
当请求被拦截,且期望响应类型为 xml/json,用户可以自定义的响应内容
通过配置
block.content_xml、block.content_json模板来实现增加 plugin.filter 配置
适用于 include/rename/readFile 等 hook 点
若开启,当文件不存在时,将不会进入检测逻辑(默认开启)
增加获取客户端真实IP的能力
用户可以在
openrasp.clientip_header指定从哪个header里获取客户端真实IP默认是
clientip请求头报警日志里的字段为
client_ip增加 Dubbo RPC 基础数据类型支持
JS 插件可以获取到RPC参数,名字为
openrasp-dubbo-X
PHP 版本
支持通过
openrasp.hooks_ignore=all来禁用全部 hook 点增加获取客户端真实IP的能力,同 Java 版本
当请求被拦截,且期望响应类型为 xml/json,用户可以自定义的响应内容,同 Java 版本
增加 openrasp.plugin_filter 配置,同 Java 版本
算法改进
SSRF
修复 @小猪"\ 报告的 XXE、SSRF 绕过问题,默认拦截
netloc://、jar://等更多不安全的协议
OGNL
hook 点改为
Ognl.topLevelExpression,以修复 @阿远 报告的 OGNL 检测报警不正确的问题
SQLi
增加懒加载和预过滤机制,仅当需要 tokenize 的时候才执行,提升性能
使用链表替换数组,优化JS LRU实现,提升性能
XXE
修复 @凌霄 反馈的 xxe_file 算法,产生大量报警日志问题
通过忽略扩展名为 dtd/xml 的实体来解决
文件目录遍历、任意文件包含
增加新的检测算法,当用户输入包含遍历特征,且用户输入位于目录结尾,判定为文件目录遍历
修复 @酒馆游侠 报告的 confluence 5.8 AFD 报警消息不正确的问题
当用户传入 file:///etc/passwd,但实际读取的是 /etc/passwd,会导致绕过,已修复
文件写入
writeFile_script 默认改成 ignore,避免大量无用日志
重命名监控
增加过滤,当源文件包含扩展名时才进入检测逻辑,以修复 @萝卜 报告的 larvael 框架下的误报问题
增加过滤,当源和目标都是文件的时候才进入检测逻辑
慢查询
由于无法获取对应的 SQL 语句,所以默认禁用了慢查询检测;禁用此hook点还可以提高Java版本的性能。
Bug 修复
PHP 版本
修复 array_filter 参数处理不正确的问题
修正报警日志里, URL 字段缺少域名的问题
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上所述就是小编给大家介绍的《OpenRASP v0.41 正式发布》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- NPM包(模块)发布、更新、撤销发布
- 有赞灰度发布与蓝绿发布实践
- 【重磅发布】Linkis 0.10.0 版本发布
- BeetlSQL 3.0.9 发布,Idea 插件发布
- 贝密游戏 0.7.0 发布,发布斗地主
- 【重磅发布】DataSphere Studio 0.9.0 版本发布
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Creative Curve
Allen Gannett / Knopf Doubleday Publishing Group / 2018-6-12
Big data entrepreneur Allen Gannett overturns the mythology around creative genius, and reveals the science and secrets behind achieving breakout commercial success in any field. We have been s......一起来看看 《The Creative Curve》 这本书的介绍吧!
