OpenRASP 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
OpenRASP 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
OpenRASP 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache 2.0
开发语言 Java JavaScript
操作系统 跨平台
软件类型 开源软件
开源组织 百度
地区 国产
投 递 者 OpenRASP
适用人群 未知
收录时间 2017-10-27

软件简介

OpenRASP

背景

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。

为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全

项目简介

RASP 技术以探针的形式,将保护引擎注入到应用服务中,能够对应用程序的执行流进行实时的检测,并拦截攻击。当应用服务器收到一个恶意请求,保护引擎就可以结合上下文,识别用户输入,检查应用逻辑是否被用户输入所修改,并决定是否阻断这个请求。

这种做法具有如下优势,

  1. 只有成功的攻击才会触发报警,所以误报率和漏报率都要低一些

  2. RASP可以记录详细的调用堆栈,帮助你理解漏洞成因

  3. 不受畸形协议的影响

开始使用

请参考官方文档进行安装和配置

另外,为了方便你对软件进行测试,我们提供了一组测试用例,包含OWASP常见安全漏洞,点击这里查看

常见问题

1. OpenRASP 都支持哪些应用服务器?

目前,我们支持 Tomcat 6-8, JBoss 4.X, Jetty 7-9 等服务器,更多服务器支持开发中

2. OpenRASP 是否会影响服务器的性能?

在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内

3. 如何集成到现有的 SIEM/SOC 平台中?

通过 LogStash、rsyslog 等方式,你可以采集每台服务器上的报警日志,并发到中央日志处理平台

4. 如何开发一个检测插件?

插件由JS实现,我们提供了详细的开发和测试 SDK,具体请参考插件开发文

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击加入讨论🔥(3)
发表了资讯
01/28 18:27

OpenRASP v1.3.7发布,增加JNDI/DNS检测点,修复多个BUG

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,...

0
3
发表了资讯
2021/02/07 21:39

OpenRASP v1.3.6 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,...

1
4
发表于开发技能专区
2020/07/08 14:45

OpenRASP v1.3.4 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,...

4
10
发表于软件架构专区
2020/03/12 14:09

OpenRASP v1.3.1 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,...

0
6
发表于运维专区
2020/02/18 11:22

OpenRASP v1.3.0 发布,支持数据泄露检测、类库版本查询

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。 另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,...

11
8
发表于服务端专区
2019/12/17 16:39

OpenRASP v1.2.3 稳定版发布,完善监控机制

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

0
7
发表于运维专区
2019/12/02 13:49

OpenRASP v1.2.2 发布,修复 v8::Abort() 等问题

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

1
2
发表于服务端专区
2019/10/29 15:49

OpenRASP v1.2.1 发布,Java 版本增加 CPU 熔断支持

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

0
10
发表于软件架构专区
2019/09/06 15:03

OpenRASP v1.2 发布,降低 Java 内存占用,发布灰盒安全测试工具

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

1
17
发表于服务端专区
2019/06/12 11:43

OpenRASP v1.1 正式版发布,降低内存占用,修复多个问题

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

1
7
发表于软件架构专区
2019/04/23 09:27

OpenRASP v1.0 正式版发布 | 数据库异常监控与WebLogic支持如约而至

OpenRASP于2017年4月立项,其初衷是为了提供一套通用的安全框架,并提高应用对未知漏洞的防护能力。Struts2 系列漏洞属于典型的未知漏洞。从 S2-001 到最新的 S2-057,它的特点是请求特征在不断变化,最终通过某种方式执行OGNL语句或者反序列化,接着获取系统权限。 RASP防护引擎运行与应用内部,可以很好的解决这个问题。无论是何种漏洞,它的最终目的无非是: 执行系统命令、上传webshell、拖库等等。于是我们实现了这样的安全...

0
16
发表于软件架构专区
2019/01/04 13:52

OpenRASP 1.0.0 RC1 发布 - 正式支持远程管理

Gartner 在2014年提出了 运行时应用自我保护 技术的概念,即 对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力。OpenRASP 是百度安全对该技术的开源实现,它改变了防火墙依赖请求特征来拦截攻击的模式。对于注入类的漏洞,我们可以识别用户输入的部分,并检查程序逻辑是否被修改。由于不依赖请求特征,我们每条报警都是成功的攻击。 目前,OpenRASP 已经集成在多个商业主机安全软件里,也有大量客户将它部署...

2
13
发表于运维专区
2018/09/25 13:32

OpenRASP v0.41 正式发布

OpenRASP v0.41 正式发布了,包含如下重大变更 Java 版本 block.url 配置选项改名为 block.redirect_url,并支持模板化配置 即自动替换模板里的 %request_id% 关键词为当前请求ID PHP 版本 openrasp.block_url 配置选项改名为 openrasp.block_redirect_url 并支持模板化配置,同Java版本 所有日志时间改为系统时间,不再使用PHP时区里的时间 解决 OpenRASP 报警日志跟 nginx/apache 访问日志无法一一对应的问题 删除 webshell_i...

0
2
发表于AI & 大数据专区
2018/07/26 11:02

OpenRASP v0.40 发布,正式支持 PHP 7

重大变更 Java 版本 命令执行 hook 点,命令参数统一改为字符串形式 所有报警消息改为英文,下个版本增加翻译支持 PHP 版本 所有报警消息改为英文,下个版本增加翻译支持 新增功能 PHP 版本 正式支持 PHP 7.0~7.2 增加对 SQL prepared statement 的支持 使用 v8 default platform 替换自定义 platform,提供更通用的后台任务能力和错误溯源能力 Java 版本 增加 rename hook 点 算法变更 命令执行 若完全没有命令执行需求请手动修...

1
2
发表于运维专区
2018/06/28 15:37

OpenRASP v0.32 发布,增强检测算法的可配置性

OpenRASP v0.32 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。 算法改进 为所有检测算法增加开关 用户可通过编辑JS插件头部的配置,来控制某个算法是否开启 ssrf_common 算法,增加对 ceye.io、transfer.sh 的检测和拦截 Bug 修复 解决 Resin 3.1.8 一个 classloader 兼容性问题 修复 SQLParser 一处语法解析错误 通过修改包名,解决 mozilla rhino 加载冲突问题...

0
4
发表于开发技能专区
2018/05/22 10:48

OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性

OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品 更新如下: 重大变更 Java 版本 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件 待应用启动后,OpenRASP 会自动生成新的日志配置文件 Java 包名改为 com.baidu.rasp 解决高版本 JDK 兼容性问题,ISSUE: rhino jdk8u162 兼容性问题 #98 为了降低 Hook 点开发成本,Hook 框架改为 JavaAssist RaspInstall - OpenRASP 自动安装程序 ...

1
5
发表于运维专区
2018/04/27 15:36

OpenRASP v0.30 版本发布,正式支持 PHP 5.X 服务器

OpenRASP v0.30 版本已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品。本次更新如下: 重大变更 Java 版本 调试开关配置选项,由 debug_level 改为 debug.level 新增功能 增加对 PHP 5.X 的支持 Linux 5.3 ~ 5.6 Windows 5.6 (仅线程安全版本) Mac homebrew PHP 5.6 PHP 安全基线检查 allow_url_include expose_php display_errors yaml.decode INI 配置审计 数据库连接账号审计 其他 PHP 版本支持的功能 SQ...

5
5
发表于软件架构专区
2018/01/30 15:58

OpenRASP 最佳实践 OpenRASP Internals 第一版发布

项目介绍 最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。 为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全。 OpenRA...

1
9
发表于运维专区
2018/01/26 15:12

OpenRASP v0.23 版本发布,解决反射检查性能问题

最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全。 重大变更 删除 re...

1
6
发表于服务端专区
2018/01/22 10:30

OpenRASP v0.22 版本发布,性能提升与 SSRF 检测

重大变更 对于Java版本,SQLi/SSRF 检测算法改为Java原生实现,进一步提高性能 通过在插件修改 algorithm.config 配置来控制检测逻辑 开源协议由 BSD-3 切换为 Apache License 2.0,方便商用 修改 context.parameter 获取逻辑 当JSP脚本读取过参数,JS插件才能读取到。这样可以减少误报,还可以提高SQLi算法#1的性能 支持过期日志自动删除功能,默认保留最近30天日志 通过给 log4j 1.X 打补丁来实现 升级前,用户需要手动删除 ...

0
3
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
3 评论
210 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部
返回顶部
顶部