应用自我保护安全解决方案 OpenRASP

Apache 2.0
Java JavaScript
跨平台
百度
2017-10-27
OpenRASP

OpenRASP

背景

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。

为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全

项目简介

RASP 技术以探针的形式,将保护引擎注入到应用服务中,能够对应用程序的执行流进行实时的检测,并拦截攻击。当应用服务器收到一个恶意请求,保护引擎就可以结合上下文,识别用户输入,检查应用逻辑是否被用户输入所修改,并决定是否阻断这个请求。

这种做法具有如下优势,

  1. 只有成功的攻击才会触发报警,所以误报率和漏报率都要低一些

  2. RASP可以记录详细的调用堆栈,帮助你理解漏洞成因

  3. 不受畸形协议的影响

开始使用

请参考官方文档进行安装和配置

另外,为了方便你对软件进行测试,我们提供了一组测试用例,包含OWASP常见安全漏洞,点击这里查看

常见问题

1. OpenRASP 都支持哪些应用服务器?

目前,我们支持 Tomcat 6-8, JBoss 4.X, Jetty 7-9 等服务器,更多服务器支持开发中

2. OpenRASP 是否会影响服务器的性能?

在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内

3. 如何集成到现有的 SIEM/SOC 平台中?

通过 LogStash、rsyslog 等方式,你可以采集每台服务器上的报警日志,并发到中央日志处理平台

4. 如何开发一个检测插件?

插件由JS实现,我们提供了详细的开发和测试 SDK,具体请参考插件开发文

的码云指数为
超过 的项目
加载中

评论(3)

远足兔子
远足兔子
不错,不过貌似支持的语言和web中间件没有云锁多
昵称什么的最讨厌了
昵称什么的最讨厌了
人家是放到tomcat这类服务器上面的好不啦
zhjphp
zhjphp
nginx不支持?

OpenRASP v1.1 正式版发布,降低内存占用,修复多个问题

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不...

06/12 11:43

OpenRASP v1.0 正式版发布 | 数据库异常监控与WebLogic支持如约而至

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不...

04/23 09:27

OpenRASP 1.0.0 RC1 发布 - 正式支持远程管理

Gartner 在2014年提出了 运行时应用自我保护 技术的概念,即 对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力。OpenRASP 是百度安全对该技术的开源实现,它改变了防火墙...

01/04 13:52

OpenRASP v0.41 正式发布

OpenRASP v0.41 正式发布了,包含如下重大变更 Java 版本 block.url 配置选项改名为 block.redirect_url,并支持模板化配置 即自动替换模板里的 %request_id% 关键词为当前请求ID PHP 版本 ...

2018/09/25 13:32

OpenRASP v0.40 发布,正式支持 PHP 7

重大变更 Java 版本 命令执行 hook 点,命令参数统一改为字符串形式 所有报警消息改为英文,下个版本增加翻译支持 PHP 版本 所有报警消息改为英文,下个版本增加翻译支持 新增功能 PHP 版本 ...

2018/07/26 11:02

OpenRASP v0.32 发布,增强检测算法的可配置性

OpenRASP v0.32 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。 算法改进 为所有检测算法增加开关 用户可通过编辑JS插件头部的配置,来控制某个算法是否开启 ssrf_com...

2018/06/28 15:37

OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性

OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下: 重大变更 Java 版本 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后...

2018/05/22 10:47

OpenRASP v0.30 版本发布,正式支持 PHP 5.X 服务器

OpenRASP v0.30 版本已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。本次更新如下: 重大变更 Java 版本 调试开关配置选项,由 debug_level 改为 debug.level 新增功能 ...

2018/04/27 15:36

OpenRASP 最佳实践 OpenRASP Internals 第一版发布

项目介绍 最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自...

2018/01/30 15:58

OpenRASP v0.23 版本发布,解决反射检查性能问题

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技...

2018/01/26 15:10

没有更多内容

加载失败,请刷新页面

暂无问答

5.1.1 OpenResty---5.2.1 - 5.2.2 单机部署

5.1.1 OpenResty OpenResty简介 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、...

05/31 11:55
1
0
改造mybatis抵御sql注入的研究和SDL的思考

这段时间看了百度的openrasp的源代码和相关资料 (地址:https://rasp.baidu.com) 在实施的过程中还是遇到了很多的阻力,所以开始自己调研相关的技术方案 我觉得能在研发阶段就能使程序员适应安...

2018/08/09 15:47
360
0
java后端系统架构,解决方案合集

前言碎语 本文主要记录了博主从业以来在系统架构及相关解决方案方面的选型项目,会不定期更新,同时也欢迎大家补充 缓存框架: spring cache:http://spring.io/guides/gs/caching/ jetcach...

2018/05/02 19:33
565
0

没有更多内容

加载失败,请刷新页面

没有更多内容

返回顶部
顶部