OpenRASP v1.0 正式版发布| 数据库异常监控与WebLogic支持如约而至
Posted 百度安全实验室
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenRASP v1.0 正式版发布| 数据库异常监控与WebLogic支持如约而至相关的知识,希望对你有一定的参考价值。
OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织 OWASP(Open Web Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,在全球范围内进行大规模推广。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。距上一个版本发布相隔约3个月,百度安全此次发布为 OpenRASP v1.0 正式版。
从v0.1到v1.0
首先,我们来回顾一下OpenRASP的项目历史。OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。
这里以著名的Apache Struts2为例。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。
RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全框架: 不依赖请求特征检测攻击,而是在应用执行上述关键操作时,执行一段自定义的逻辑检查是否存在异常。
这也是RASP技术的强大之处,WAF只能看到请求信息,无法掌握应用内部具体的执行机制。如果请求经过编码或者其他形式的加密,WAF就无法检测了,而RASP引擎依然可以在应用执行数据库查询或者系统调用时进行安全检测。
我们根据实战经验总结了一下,RASP技术有如下三个好处:
几乎没有误报: 不依赖请求特征,失败的攻击无法触发检测点,所以误报较少
对抗未知漏洞: 可以识别异常的堆栈(比如反序列化),以及应用产生的异常(比如SQL语法错误)
给出漏洞详情: 获取详细漏洞堆栈,以及对应的源代码,降低修复和沟通成本
为了跨越开发语言的障碍,我们引入了 Google V8 引擎,实现了基于javascript的插件系统。这样的好处是,检测逻辑只需要开发一次,就可以在Java、php、Go、Node、Python等开发语言、服务器上直接运行。
承蒙社区支持,在这一年半的时间里OpenRASP项目在GitHub上已经积累了800多颗星星并还在不断增长中;QQ技术讨论群的用户也接近900人,收到用户反馈千余次,帮助我们不断改善产品。
随着社区不断壮大,朋友们也开始提交代码。在1.0正式版里,苏宁的 taowang501 同学帮助我们实现了 JBoss WildFly 的服务器支持,目前代码已经通过测试并成功发布。
OpenRASP项目时间表:
2017.8 发布第一个版本 v0.10,进入OASES智能终端安全生态联盟
2018.4 发布 v0.40 版本,增加 PHP 支持
2018.12 获得FIT 2018年度技术变革奖
2018.12 在百度集团无人车、搜索等业务线落地
2019.1 OpenRASP 集成到安全狗企业版
2019.3 在联想集团、芒果TV、货拉拉、携程等合作方落地,累计发现百余个高危漏洞
2019.4 发布 1.0 正式版,支持 WebLogic、Undertow、PHP 7.3,实现生产环境可用
1.0 新特性
数据库异常监控
首先,我们加入了数据库异常监控。对于SQL注入攻击,在探测阶段通常需要构造多种语句,有很大概率让数据库服务器产生异常,e.g 单引号造成mysql语法错误。因此,OpenRASP 通过监控数据库语句的异常,在攻击者探测漏洞的阶段就可以发出漏洞预警。
目前支持的异常如下:
WebLogic 支持
其次,我们加入了 WebLogic 10/12 的支持。 最近 WebLogic 高危漏洞频发,影响较大:
...
部分漏洞官方还没有推出补丁,大家可以通过禁用组件、限制网络访问等方式,进行临时修复。
应用加固支持
然后,我们实现了基于浏览器Header的应用加固能力。若要开启应用加固,可在管理后台 -> 应用加固进行配置。具体支持的能力如下表所示:
代码反编译支持
最后,我们加入了代码反编译支持。在获取到堆栈的同时,我们可以同时展示Java、PHP的源代码,方便你理解漏洞。由于此功能对性能影响较大,我们一般只在测试环境开启。
写在最后
OpenRASP 是百度AIoT安全解决方案的重要组成部分,也是百度下一代AI安全技术栈的核心技术之一。从新一代安全技术的研发与开源,到为行业提供一体化安全解决方案,再到促进学术、企业、机构间多层面协作,百度安全实验室正在升级打造AI时代的安全生态,打破产业隔阂,避免生态碎片化,以此推动AI时代的安全生态建设。
另外,在今年6月份我们会发布基于RASP技术的 DevSecOps 社区版方案。若想在第一时间了解我们的动态,请加入QQ技术讨论群 259318664 讨论(微信群需要联系群主加入)。
更多内容请移步:
OpenRASP 项目主页: https://rasp.baidu.com
GitHub 源代码: https://github.com/baidu/openrasp
以上是关于OpenRASP v1.0 正式版发布| 数据库异常监控与WebLogic支持如约而至的主要内容,如果未能解决你的问题,请参考以下文章
Bitcoin SV节点软件发布升级版本v1.0.8(正式版)