OpenRASP 正在参加 2020 年度 OSC 中国开源项目评选,请投票支持!
OpenRASP 在 2020 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
投票让它出道
已投票
OpenRASP 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」 !
OpenRASP 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」「最积极运营项目」 !
OpenRASP 获得 2020 年度 OSC 中国开源项目评选「最积极运营项目」 !

软件简介

OpenRASP

背景

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。

为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全

项目简介

RASP 技术以探针的形式,将保护引擎注入到应用服务中,能够对应用程序的执行流进行实时的检测,并拦截攻击。当应用服务器收到一个恶意请求,保护引擎就可以结合上下文,识别用户输入,检查应用逻辑是否被用户输入所修改,并决定是否阻断这个请求。

这种做法具有如下优势,

  1. 只有成功的攻击才会触发报警,所以误报率和漏报率都要低一些

  2. RASP可以记录详细的调用堆栈,帮助你理解漏洞成因

  3. 不受畸形协议的影响

开始使用

请参考官方文档进行安装和配置

另外,为了方便你对软件进行测试,我们提供了一组测试用例,包含OWASP常见安全漏洞,点击这里查看

常见问题

1. OpenRASP 都支持哪些应用服务器?

目前,我们支持 Tomcat 6-8, JBoss 4.X, Jetty 7-9 等服务器,更多服务器支持开发中

2. OpenRASP 是否会影响服务器的性能?

在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内

3. 如何集成到现有的 SIEM/SOC 平台中?

通过 LogStash、rsyslog 等方式,你可以采集每台服务器上的报警日志,并发到中央日志处理平台

4. 如何开发一个检测插件?

插件由JS实现,我们提供了详细的开发和测试 SDK,具体请参考插件开发文

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论 (3)

加载中
打分: 力荐
不错,不过貌似支持的语言和web中间件没有云锁多
2018/02/24 17:56
回复
举报
人家是放到tomcat这类服务器上面的好不啦
2017/10/30 11:08
回复
举报
nginx不支持?
2017/10/28 11:07
回复
举报
更多评论
发表于开发技能专区
2020/07/08 14:45

OpenRASP v1.3.4 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,...

4
10
发表于软件架构专区
2020/03/12 14:09

OpenRASP v1.3.1 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,...

0
6
发表于开发技能专区
2020/02/18 11:22

OpenRASP v1.3.0 发布,支持数据泄露检测、类库版本查询

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,...

11
8
发表于开发技能专区
2019/12/17 16:39

OpenRASP v1.2.3 稳定版发布,完善监控机制

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

0
7
发表于软件架构专区
2019/12/02 13:49

OpenRASP v1.2.2 发布,修复 v8::Abort() 等问题

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

1
2
发表于DevOps专区
2019/10/29 15:49

OpenRASP v1.2.1 发布,Java 版本增加 CPU 熔断支持

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

0
10
发表于开发技能专区
2019/09/06 15:03

OpenRASP v1.2 发布,降低 Java 内存占用,发布灰盒安全测试工具

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

1
17
发表于运维专区
2019/06/12 11:43

OpenRASP v1.1 正式版发布,降低内存占用,修复多个问题

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

1
7
发表于DevOps专区
2019/04/23 09:27

OpenRASP v1.0 正式版发布 | 数据库异常监控与WebLogic支持如约而至

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题...

0
16
发表于AI & 大数据专区
2019/01/04 13:52

OpenRASP 1.0.0 RC1 发布 - 正式支持远程管理

Gartner 在2014年提出了 运行时应用自我保护 技术的概念,即 对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力。OpenRASP 是百度安全对该技术的开源实现,它改变了防火墙依赖请求特征来拦截攻击的模式。对于注入类的漏洞,我们可以识别用户输入的部分,并检查程序逻辑是否被修改。由于不依赖请求特征...

2
13
发表于DevOps专区
2018/09/25 13:32

OpenRASP v0.41 正式发布

OpenRASP v0.41 正式发布了,包含如下重大变更 Java 版本 block.url 配置选项改名为 block.redirect_url,并支持模板化配置 即自动替换模板里的 %request_id% 关键词为当前请求ID PHP 版本 openrasp.block_url 配置选项改名为 openrasp.block_redirect_url 并支持模板化配置,同Java版本 所有日志时间改为系统时间,不再...

0
2
发表于DevOps专区
2018/07/26 11:02

OpenRASP v0.40 发布,正式支持 PHP 7

重大变更 Java 版本 命令执行 hook 点,命令参数统一改为字符串形式 所有报警消息改为英文,下个版本增加翻译支持 PHP 版本 所有报警消息改为英文,下个版本增加翻译支持 新增功能 PHP 版本 正式支持 PHP 7.0~7.2 增加对 SQL prepared statement 的支持 使用 v8 default platform 替换自定义 platform,提供更通用的后台...

1
2
发表于服务端专区
2018/06/28 15:37

OpenRASP v0.32 发布,增强检测算法的可配置性

OpenRASP v0.32 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。 算法改进 为所有检测算法增加开关 用户可通过编辑JS插件头部的配置,来控制某个算法是否开启 ssrf_common 算法,增加对 ceye.io、transfer.sh 的检测和拦截 Bug 修复 解决 Resin 3.1.8 一个 classloader 兼容性问题 修复 SQLParser ...

0
4
发表于运维专区
2018/05/22 10:48

OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性

OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下: 重大变更 Java 版本 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后,OpenRASP 会自动生成新的日志配置文件 Java 包名改为 com.baidu.rasp 解决高版本 JDK 兼容性问题,ISSUE: rhino jdk8u162 兼容...

1
5
发表于服务端专区
2018/04/27 15:36

OpenRASP v0.30 版本发布,正式支持 PHP 5.X 服务器

OpenRASP v0.30 版本已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。本次更新如下: 重大变更 Java 版本 调试开关配置选项,由 debug_level 改为 debug.level 新增功能 增加对 PHP 5.X 的支持 Linux 5.3 ~ 5.6 Windows 5.6 (仅线程安全版本) Mac homebrew PHP 5.6 PHP 安全基线检查 allow_url_incl...

5
5
发表于服务端专区
2018/01/30 15:58

OpenRASP 最佳实践 OpenRASP Internals 第一版发布

项目介绍 最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。 为此,百度推出了开源的自适...

1
9
发表于AI & 大数据专区
2018/01/26 15:12

OpenRASP v0.23 版本发布,解决反射检查性能问题

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。为此,百度推出了开源的自适应安全产品...

1
6
发表于AI & 大数据专区
2018/01/22 10:30

OpenRASP v0.22 版本发布,性能提升与 SSRF 检测

重大变更 对于Java版本,SQLi/SSRF 检测算法改为Java原生实现,进一步提高性能 通过在插件修改 algorithm.config 配置来控制检测逻辑 开源协议由 BSD-3 切换为 Apache License 2.0,方便商用 修改 context.parameter 获取逻辑 当JSP脚本读取过参数,JS插件才能读取到。这样可以减少误报,还可以提高SQLi算法#1的性能 支持...

0
3
发表了资讯
2017/12/11 17:07

OpenRASP v0.21 版本发布,拖库检测与数据安全

OpenRASP 简介 OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。 据上一个版本发布相隔约1个月,百度安全实验室此次发布为Ope...

9
33
发表了资讯
2017/10/27 07:01

OpenRASP 发布 0.20 版本,百度自适应安全产品

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。 为此,百度推出了开源的自适应安全产品...

1
21
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
2020/11/26 17:27

openrasp笔记

这个坑还是在elasticsearch # vim /etc/security/limits.conf 添加 * soft nofile 65536 * hard nofile 131072 * soft nproc 2048 * hard nproc 4096 # vim /etc/security/limits.d/90-nproc.conf 这个目......

0
0
发表了博客
2018/03/07 14:30

百度安全的 OpenRASP 项目,究竟是什么?

百度安全的 OpenRASP 项目,究竟是什么? 本文转载自@浅黑科技 文 | 史中 聊到最后,c0debreak 打开了一个“机密文档”给我看。这是一个宅男积累多年的秘密,我眯着眼好奇地凑过去,里面密密麻麻的都是。。。。对最新网络安全技术的研究笔记。 “我让你给我展示一下和工作无关的‘业余爱好’,XX都X了,你就给我看这个?...

0
0
发表了博客
2020/12/11 10:51

OpenResty && OpenRASP

文章目录 一、OpenResty 1. 安装OpenResty 2. WAF的列表 3. 配置waf规则 二、OpenRASP 1. 下载漏洞环境 2. 安装单机版openrasp 3. openrasp后台管理 4. 安装后台系统 5. 添加客户端 一、OpenResty OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用...

0
0
发表了博客
2017/11/20 20:04

OpenRASP v0.20 发布 | 性能提升与零规则漏洞检测

OpenRASP是百度安全推出的一个自适应安全产品,凝聚百度多年黑产对抗经验,保护引擎集成在应用内部,可以在应用服务层面进行深度保护和异常检测,实现去边界化防护,运维成本也更低。OpenRASP已经开源、免费提供给用户,并且与OWASP联合在全球范围内重点推广。 同时,OpenRASP也是OASES智能终端安全生态联盟(Open AI S...

0
0
发表了博客
2019/07/06 10:19

​那些年我们堵住的洞 – OpenRASP纪实

OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织 OWASP(Open Web Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,在全球范围内进行大规模推广。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企...

0
0
发表了博客
2018/04/28 13:51

OpenRASP v0.30 发布 | PHP 支持,堆栈异常和用户输入识别

OpenRASP是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织OWASP(OpenWeb Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,将在全球范围内进行大规模推广。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企...

0
0
发表了博客
2019/05/05 16:52

WebLogic突然漏洞高发,OpenRASP及时贴身防卫

OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织 OWASP(Open Web Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,在全球范围内进行大规模推广。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企...

0
1
发表了博客
2020/05/20 10:01

Java openrasp学习记录(一)

前言 最近一直在做学校实验室安排的项目,太惨了,没多少时间学习新知识,不过rasp还是要挤挤时间学的,先从小例子的分析开始,了解rasp的基本设计思路,后面详细阅读openrasp的源码进行学习!欢迎在学习相关知识的师傅找我交流!如本文有所错误请指出~ 例子1 https://github.com/anbai-inc/javaweb-expression 一个hoo...

0
0
2020/06/19 16:02

美国又双叒叕有1.43亿信用数据泄漏了,世界人民呼唤OpenRASP

上周四,美国信用体系中的三大核心公司之一Equifax因为Struts 2的安全漏洞,造成1.43亿人的个人信息被盗窃,其中可能包括完整的姓名、生日、地址、SSN和驾照号等。此次信息盗窃发生在五月,但是Equifax七月份才发...

0
1
发表了博客
2019/08/08 19:07

OpenRASP新增JNI防护、黑链定位支持 | 获得大型金融企业用户致谢

OpenRASP 是百度安全推出的一款开源、免费的自适应安全产品,目前与国际知名非盈利安全组织 OWASP(Open Web Application Security Project)达成深度合作,现已加入到OWASP全球技术项目中,在全球范围内进行大规模推广。OpenRASP将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
暂无内容
3 评论
208 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部