歡迎光臨
每天分享高質量文章

百度開源專案OpenRASP快速上手指南

來自:FreeBuf.COM,作者:陸仁甲

既然是快速上手指南,相信大家看完之後在1個小時之內就能安裝部署到位。

下麵開始正題:

一、功能介紹

1.Web 2.0 攻擊檢測, owasp top 10 漏洞的檢查與攔截,同時輸出日誌信息。

2.服務器安全基線檢查。

3.應用加固。

二、rasp與waf區別

WAF(Web Application Firewall),應用防火牆;

RASP(Runtime application self-protection),運行時應用自我保護。

三、優勢與劣勢

優勢1:RASP幾乎沒有誤報情況;

優勢2:RASP可以發現更多攻擊;

優勢3:RASP可以對抗未知漏洞。

四、安裝與配置

虛擬機環境說明:

操作系統 Debian9
PHP版本 7.0.27
nginx版本 1.10.2
openrasp版本 1.0 rc版

如果你要開啟遠程管理,請先參考管理後臺 – 添加主機 文件,找到appid、appsecret、backend_url三個關鍵引數,然後執行如下命令:

php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX

安裝成功之後,在phpinfo()中能看到如下信息:

在http響應頭中能看到如下信息:

下麵是黑客攻擊web服務器之後的攔截效果圖:

五、使用中遇到的問題

問題一:RCE 遠程代碼執行沒有被攔截

如下圖:

http://192.168.140.128:8010/vuls/rce.php?code=system('whoami')

被攔截了,但是

http://192.168.140.128:8010/vuls/rce.php?code=echo php_uname(); 

沒有被攔截。

結論:openrasp攔截遠程命令執行漏洞,但是遠程代碼執行漏洞不攔截。

問題二:XXE 漏洞沒有被攔截

如下圖:

六、漏洞攔截能力測試清單

漏洞型別 是否能攔截
Sql註入漏洞
Xss跨站漏洞 不能
檔案上傳漏洞
Ssrf漏洞
XXE漏洞 不能
遠程命令執行
遠程代碼執行 不能
Java反序列化漏洞
Lfi本地檔案包含

七、管理後臺的安裝和配置

安裝管理後臺之前需要先安裝ElasticSearch和MongoDB兩種資料庫;資料庫的要求是:

MongoDB >= 3.6;ElasticSearch > 5.6;管理後臺下載地址是:

https://github.com/baidu/openrasp/releases/download/v1.0.0-RC1/rasp-cloud.tar.gz

下載之後解壓縮,具體配置請參考:https://rasp.baidu.com/doc/install/panel.html。

配置成功之後用瀏覽器打開後臺地址並登陸,截圖如下:

備註說明:管理後臺可以單獨放在內網的一臺服務器中,推薦使用centos6系統。

比如在內網的web服務器如nginx,apache,tomcat中大量部署openrasp,只需要一臺服務器部署管理後臺就可以查看其它web服務器的攔截日誌信息,方便集中統一管理openrasp的日誌信息。

八、個人點評

Openrasp作為一款有別於waf的防禦工具,雖然漏洞的攔截能力有待提高,但對於中小企業來說是一款不錯的owasp top 10防禦工具,優點是免費開源並支持二次開發,同時支持在內網中大量部署並能集中管理查看日誌信息。

赞(0)

分享創造快樂