百度360必应搜狗淘宝本站头条
linux取消挂载yum卸载下横线怎么打mysql 外网访问权限php打乱数组顺序
当前位置:网站首页 > 编程文章 > 正文

互联网开源自适应安全产品OpenRASP使用攻略

qiyuwang 2024-10-07 15:24 10 浏览 0 评论

背景

OpenRASP 是百度云分析团队开源的自适应安全产品,它将新兴的 RASP(Run-time Ap-pli-ca-tion Self-Pro-tec-tion)安全防护技术普及化,使其迅速成为企业 Web 安全防护中的一个重要手段,有效增强防御体系纵深和对漏洞防护的适应能力。

比起购买专业的 WAF 软件,使用 OpenRASP 对 Java web 应用进行安全加固便捷多了,我们公司在发布 Web 应用的时候也会部署 OpenRASP。

本文将介绍 OpenRASP 的应用配置及注意事项。

1 介质下载

rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。

2 Java客户端安装

支持自动安装,进入 rasp 所在目录,执行安装命令即可:

java -jar RaspInstall.jar -install <tomcat_root>

3 拦截启用

官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的配置,放开拦截功能:

4 白名单配置

Shell 命令调用请求会被官方插件拦截,对于需要调用 Shell 命令的那些请求,应该单点配置白名单。白名单配置位于 $APP_HOME/rasp/conf/openrasp.yml 放开 hook.white ,添加需要的配置项目。

假设我们白名单的需求是这样的:

  1. 针对所有URL,关闭 SSRF 检测点
  2. 针对 www.baidu.com,关闭所有检测点
  3. 针对 pma.baidu.com/phpmyadmin/,关闭 SQL 检测点

定位到 hook.white(如果没有可以手动添加)并增加如下内容:

hook.white:
    "*":
        - "ssrf"
    "www.baidu.com":
        - "all"
    "pma.baidu.com/phpmyadmin/":
        - "sql"

5 重定向配置

openrasp.yml 重定向默认拦截时的响应码为 302 ,同时重定向到 block.redirect_url,如果需要按实际情况调整,可按如下步骤完成:

第一,如果应用全为 html 或者页面形式,没有 ajax 请求,默认拦截行为走重定向,修改 block.redirect_url 即可。

第二,同时有 JSON 和 html 响应的应用,需要修改配置,同时支持 ajax JSON 格式请求和 html 响应:拦截时响应码为 200,且返回下面配置的内容

  1. block.status_code: 200
  2. block.content_json:以通常标准的 ajax 响应格式的内容
  3. block.content_html:响应页面

做这个调整主要是为了适应项目的 web 响应格式,即使请求被拦截,客户端也能的到合理的响应结果。

6 拦截策略调整

XSS 检测功能,需要手动调整拦截策略,即修改 action 字段为 block ,official.js 中的拦截策略均可以在 block 和 log 之间按需切换。

OpenRASP 提供了 XSS 用户输入匹配算法,其默认的规则是“当用户输入长度超过15,匹配上标签正则,且出现在响应里,直接拦截”。

即OpenRASP 只会对真实存在、且响应内容为 html/text 类型的请求才进行 xss 检测,不会处理响应 类型为 JSON 的请求;另外,对页面输入的 html 标签之类的行为不会拦截。

7 应用加固支持

OpenRASP 提供了几种安全响应头域,配置为:

inject.custom_headers:
   X-Content-Type-Options: nosniff
   X-Frame-Options: deny
   X-XSS-Protection: 1; mode=block
   X-Download-Options: noopen

它们可以为应用提供点击劫持防护 、MIME 嗅探防护 、XSS Auditor 防护 、文件自动运行防护等防护功能。

8 OpenRASP 产品分析

官方给出的防护能力比较齐全,加上自定义的 XSSFilter ,能极大程度地增强应用的安全性,而且单机 OpenRASP 安装方便,通用性较强。利用OpenRASP 已知的防护能力,应用不用增加额外的加固代码,即使有加固不到位的地方,也无妨。

由于官方插件默认是关闭拦截功能的,需要按应用情况启用一些拦截策略。另外, OpenRASP 虽然是以 instrument 方式将防护引擎嵌入到应用内部的,但是,据官方的性能测试报告,它对应用本身的性能和页面响应能力基本没有影响。

使用 OpenRASP 为应用添加自我保护能力,这点还是极具诱惑力的!


相关推荐

在Word中分栏设置页码一页两个页码的技巧!

施老师:在正常情况下,Word文档中一页只会出现一个页码。但在某种情况下,比如说:用了分栏后,我们希望一页中出现两个页码,那应该如何实现呢?今天,就由宁双学好网施老师来为大家讲一下,利用域来实现一页两...

如何在关键时刻向上自荐(如何在关键时刻做出正确选择)

抓住机会,挺身而出有种时刻叫“关键时刻”,关键时刻,作为一个认为自己有能力的、训练有素的人,应该考虑挺身而出,甚至应该不考虑就挺身而出。...

WPS Word:跨页的文档表格,快速调整为一页。#Excel

如何快速将跨页的文档表格调整为一页?需要根据两种情况分别处理。如果表格所有行的行高相同,调整为一页的方法有两种。第一种方法是将光标移动到表格内,然后将鼠标移动到表格右下角的方框处,按住鼠标左键向上拖动...

word文档插入下一页分节符(word下一页分页符)

在word文档中,对文档页面进行分页是特别常见的操作,其中的下一页分节符也是用得比较多的,但是一些人不太清楚在哪里设置,也不知道它具体能实现的功能是什么。接下来看看如何在word文档中插入下一页分节符...

word文档如何设置某一页纸张的方向

word文档页面方向有横向和纵向,纵向是默认的纸张方向,有时我们需要将页面设置为横向,或只设置其中某一页方向,应该怎么操作呢?一起来看看下面的详细介绍第一步:...

word怎么单独设置一页为横向(word2019怎样设置单独一页为横向)

word里面其中一页可以改为横向的吗?经过实际操作发现是完全可以的。...

Word如何设置分栏,如何一页内容同时显示一栏和两栏

我们使用Word文档,有时需要用到两栏的排版,甚至一页内容同时包含一栏和两栏的排版,这种格式怎么设置呢?具体步骤如下:首先是两栏排版的设置,直接点击Word文件上方工具栏【布局】,选择【分栏】下面的【...

Word怎么分页?这三个方法可以帮到你

我们不仅可以利用Word编辑文档,还可以编辑文集呢。但是有时候会出现两个部分的文章长短不一,我们需要对文档进行分页处理。这样可以方便我们对文档进行其他操作。那么Word怎么分页呢?大家可以采用下面这...

Word内容稍超一页,如何优化至单页打印?

如何将两页纸的内容,缩到一页打印呢?有时候一页纸多一点内容,我们完全可以缩一下,放到一页来打印。...

[word] word 表格如何跨行显示表头、标题

word表格如何跨行显示表头、标题在Word中的表格如果过长的话,会跨行显示在另一页,如果想要在其它页面上也显示表头,更直观的查看数据。难道要一个个复制表头吗?当然不是,教你简单的方法操作设置Wo...

Word表格跨页如何续上表?(word如何让表格跨页不断掉)

长文档的表格跨页时,你会发现页末空白太多了,这时要怎么调整?选中整张表格,右击【表格属性】,点击【行】选项,之后勾选【允许跨页断行】,点击确定即可解决空白问题。...

Word怎么连续自动生成页码,操作步骤来了!

Word怎么连续自动生成页码,操作步骤来了!...

word文档怎么把两页合并成一页内容?教你4种方法

word怎么把两页合并成一页?word怎么把两页合并成一页?用四种方法演示一下。·方法一:把这一个文档合并成一页,按ctrl加a全选文档,然后右键点击段落,弹出的界面行距改成固定值,磅值可以改小一点,...

如何将Word中的一页的纸张方向设置为横向?这里提供详细步骤

默认情况下,MicrosoftWord将页面定向为纵向视图。虽然这在大多数情况下都很好,但你可能拥有在横向视图中看起来更好的页面或页面组。以下是实现这一目标的两种方法。无论使用哪种方法,请注意,如果...

Word横竖混排你会玩吗?(word横排竖排混合)

我们在用Word排版的时候,一般都是竖版格式,但偶尔会需要到一些特殊的版式要求,比如文档中插入的一个表格,横向的内容比较多,这时就需要用到横版,否则表格显示不全。这种横竖版混排的要求,在Word20...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表