百度开源项目OpenRASP快速上手指南

栏目: 后端 · 发布时间: 5年前

内容简介:下面开始正题:1.Web 2.0 攻击检测, owasp top 10 漏洞的检查与拦截,同时输出日志信息。

既然是快速上手指南,相信大家看完之后在1个小时之内就能安装部署到位。

下面开始正题:

一、 功能介绍

1.Web 2.0 攻击检测, owasp top 10 漏洞的检查与拦截,同时输出日志信息。

2.服务器安全基线检查。

3.应用加固。

二、 rasp与waf区别

WAF(Web Application Firewall),应用防火墙;

RASP(Runtime application self-protection),运行时应用自我保护。

三、 优势与劣势

优势1:RASP几乎没有误报情况;

优势2:RASP可以发现更多攻击;

优势3:RASP可以对抗未知漏洞。

四、 安装与配置

虚拟机环境说明:

操作系统 Debian9
PHP版本 7.0.27
nginx版本 1.10.2
openrasp版本 1.0 rc版

如果你要开启远程管理,请先参考管理后台 – 添加主机 文档,找到app_id、app_secret、backend_url三个关键参数,然后执行如下命令:

php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX

安装成功之后,在phpinfo()中能看到如下信息:

百度开源项目OpenRASP快速上手指南 在http响应头中能看到如下信息:

百度开源项目OpenRASP快速上手指南 下面是黑客攻击web服务器之后的拦截效果图:

百度开源项目OpenRASP快速上手指南

五、 使用中遇到的问题

问题一:RCE 远程代码执行没有被拦截

如下图:

http://192.168.140.128:8010/vuls/rce.php?code=system('whoami')

被拦截了,但是

http://192.168.140.128:8010/vuls/rce.php?code=echo php_uname(); 

没有被拦截。

百度开源项目OpenRASP快速上手指南

结论:openrasp拦截远程命令执行漏洞,但是远程代码执行漏洞不拦截。

问题二:XXE 漏洞没有被拦截

如下图:

百度开源项目OpenRASP快速上手指南

六、 漏洞拦截能力测试清单

漏洞类型 是否能拦截
Sql注入漏洞
Xss跨站漏洞 不能
文件上传漏洞
Ssrf漏洞
XXE漏洞 不能
远程命令执行
远程代码执行 不能
Java反序列化漏洞
Lfi本地文件包含

七、 管理后台的安装和配置

安装管理后台之前需要先安装ElasticSearch和 MongoDB 两种数据库;数据库的要求是:

MongoDB >= 3.6;ElasticSearch > 5.6;管理后台下载地址是:

https://github.com/baidu/openrasp/releases/download/v1.0.0-RC1/rasp-cloud.tar.gz

下载之后解压缩,具体配置请参考: https://rasp.baidu.com/doc/install/panel.html

配置成功之后用浏览器打开后台地址并登陆,截图如下:

百度开源项目OpenRASP快速上手指南

备注说明:管理后台可以单独放在内网的一台服务器中,推荐使用centos6系统。

比如在内网的web服务器如nginx,apache,tomcat中大量部署openrasp,只需要一台服务器部署管理后台就可以查看其它web服务器的拦截日志信息,方便集中统一管理openrasp的日志信息。

八、 个人点评

Openrasp作为一款有别于waf的防御工具,虽然漏洞的拦截能力有待提高,但对于中小企业来说是一款不错的owasp top 10防御工具,优点是免费开源并支持二次开发,同时支持在内网中大量部署并能集中管理查看日志信息。

*本文作者:陆仁甲,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

算法数论

算法数论

裴定一、祝跃飞 / 科学出版社 / 2002年09月 / 19.00

本书论述了算法数论的基本内容,其中包括:连分数、代数数域、椭圆曲线、素性检验、大整数因子分解算法、椭圆曲线上的离散对数、超椭圆曲线。本书的特点是内容涉及面广,在有限的篇幅内,包含了必要的预备知识和数学证明,尽可能形成一个完整的体系。并且本书的部分内容曾多次在中国科学院研究生院信息安全国家重点实验室和广州大学作为硕士研究生教材使用。 本书可作为信息安全、数论等专业的研究生教材及相关专业的研究人......一起来看看 《算法数论》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

URL 编码/解码
URL 编码/解码

URL 编码/解码

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具