前言

Openrasp 初探系列最后一篇，前两篇文章分别介绍了百度开源 openrasp 项目的一些概况以及 java 项目的应用部署，感兴趣可以移步：OpenRASP 初探（一）之项目介绍、OpenRASP 初探（二）之项目部署。本文将介绍下 Openrasp IAST的一些情况以及部署方法。
（2020.5.4 京东通州大运河畔）

一、IAST 简介

其实在第一篇中也介绍过 iast 的一些技术背景，这里再作下补充，以供不了解的朋友参考。IAST交互式安全测试工具是全新一代“灰盒”代码审计。是近年来兴起的一项新技术，被Gartner公司列为信息安全领域的Top10技术之一。融合了SAST和DAST技术的优点，无需源码，支持对字节码的检测。IAST极大的提高了安全测试的效率和准确率，良好的适用于敏捷开发和DevOps，可以在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，无感知的完成安全测试，解决了现有应用安全测试技术面临的挑战。

二、Openrasp-IAST 架构

IAST 通过 openrasp 管理后台集中进行插件管理，并通过集中推送的方式将插件推送到全部应用的 agent，但是一个 agent 同时只支持一个 agent，一旦将 iast 推送后，agent 将失去防护插件的功能。所以 IAST 更趋向于集成到测试环境，当进行功能测试时，相关接口被请求到就会自动推送到 IAST 扫描器触发安全扫描任务。

而生产环境则需要单独部署一套 openrasp 使用防护类插件进行攻击的监测和防护。

三、IAST 安装

本工具仅支持 Linux 平台，在开始之前，请先确保安装:

OpenRASP 管理后台 版本 >= 1.2.0，并至少有一台在线主机
Python 3.6 或者更高版本
MySQL 5.5.3， 或者更高版本

备注：IAST 扫描器可安装在任意 Linux 主机上(可以单独的一台服务器，不需要和应用实例或 Openrasp 管理后台部署在一起），通过 Openrasp 管理后台进行扫描任务管理，因此需要网络互通。

扫描器端安装：

1. 使用 pip3 安装 openrasp-iast，以及依赖的库:

pip3 install --upgrade git+https://github.com/baidu-security/openrasp-iast

安装过程中因为源的问题，可能会导致有些慢，要么挂个代理，要么使用国内的源。（在公司是有vpn的，但是依然很慢，果断用了豆瓣的源）

pip3 install --upgrade git+https://github.com/baidu-security/openrasp-iast -i http://pypi.douban.com/simple/

1. 配置mysql数据库 (创建rasp账户 和openrasp库）

DROP DATABASE IF EXISTS openrasp;
CREATE DATABASE openrasp default charset utf8mb4 COLLATE utf8mb4_general_ci;
grant all privileges on openrasp.* to 'rasp'@'%' identified by 'rasp123';
grant all privileges on openrasp.* to 'rasp'@'localhost' identified by 'rasp123';

Openrasp 管理后台配置：

1. 打开管理后台，在「插件管理」tab 页，将 iast 插件（如果没有插件需要到官方下载并上传）推送到 agent。
   
2. 「防护设置」进行扫描器配置，在 fuzz 服务器地址处填写刚安装 iast 扫描器的主机地址，端口、访问目录都是代码中默认的，只要关注访问域名或 ip 即可。
   
3. 点击「添加主机」查看扫描器服务配置参数
   根据上图第3步，安装的 iast 服务的配置参数，在 iast 服务器输入命令进行初始化配置。

openrasp-iast config -a
508c865f9f1f4e7614de44e8d365e262fb1cd9fe -b
rAuESGQUtcKNiBLs1q1pZ5rZDbrF01vnDTDTAFJdmZN -c
http://ip:8086/ -m mysql://rasp:rasp123@127.0.0.1/openrasp

iast 服务配置和启动：

1. 服务配置参见上文
2. 启动服务，输入命令：openrasp-iast start -f //-f 参数为前台运行，不加就是后台运行。
   提示服务启动成功后，可以访问 YOUR_IP:18664 ，查看 iast 控制台，如下图：
   
   安装完成验证：
   此时全部安装配置工作都已完成，我们请求安装 agent 的应用程序，请求一些接口，此时观察iast控制台出现扫描任务证明安装配置成功。可以开始实时交互扫描了。
   

四、IAST 扫描支持漏洞类型

命令注入
目录遍历
PHP eval 代码执行
文件上传
文件包含
任意文件读取
任意文件写入
SQL 注入
SSRF
Java XXE

写在最后： 目前openrasp还在持续不断地维护和更新中，以上的安装步骤主要基于 1.3.1之前的版本，在1.3.2版本已经将扫描的任务管理集成到rasp的管理后台，管理起来更加的方便，大家可以随时关注 openrasp官网的动态。也再次感谢百度安全团队openrasp项目对安全圈的卓越贡献，带领大家共同探索rasp，向前发展。后续我会再更新几篇，在生产环境部署后的一些遇到的小问题和解决方法，欢迎关注。

OpenRASP 初探（三）之 IAST相关推荐

1. 内网渗透初探(三) ｜ 查缺补漏

   一.前言 从linux打进去到域环境,到获取域控权限.因为前面基本都是在讲windows,这里补一篇linux的,全篇实操,喜欢的小伙伴们快来呀~ 二.外网打点 1.打开站点,很正常的一个登录界面 2 ...

2. JavaScript初探 三 （学习js数组）

   JavaScript初探 (三) JavaScript数组 定义 创建数组 var 数组名 = [元素0,元素1,元素2,--] ; var arr = ["Huawei",&qu ...

3. Elastic Searchable snapshot功能初探 三 （frozen tier）

   文章目录 演示思路 准备数据 创建快照仓库与快照 关联快照仓库与快照 mount searchable snapshot 挂载选项 full_copy shared_cache 测试可搜索快照 总结 ...

4. JMeter初探三-代理录制

   上节介绍了Badboy的录制方式 ,现在介绍一下代理录制的方法,代理服务器的录制方式如下: 1.新建代理服务器 在代理服务器中填写端口等信息,这里填写8088,选择目标控制器 点击界面上的 启动按钮  ...

5. android自动化测试之robotium初探(三),Android自动化测试之Robotium--基础操作.pdf

   Android自动化测试第五课 Android 自劢化测试乊Robotium --基础操作 Karen 微信公众号:gloryroadtrain ThreadingTest 技术支持Q群: 一群:33 ...

6. 夜莺初探三·Categraf采集器

   前言 github仓库文档中对Categraf有很详细的介绍,简单重复一下就是:支持多种数据格式的remote_write:All-in-one的设计理念,指标采集只需要一个agent完成,也计划支持 ...

7. Opserver 初探三《服务器数据监控》

   用Opserver 怎么像zabbix一样监控服务器呢,查看github官方说明,Opserver可用于连接任何支持Bosun, Orion, or direct WMI监控数据. 1 2 3 4 5 ...

8. Linux内核驱动初探(三) 以太网卡

   目录 0. 前言 1. menuconfig 2. 设备树 0. 前言 这次的网卡驱动就比较顺利,基本就是参考 4.19.x 内核以及 imx6qdl-sabrelite.dtsi.imx6qdl-s ...

9. 渗透测试常用工具总结——DAST、SAST、IAST

   目录 (一)DAST (二)SAST 0x01 PHP 0x02 .NET 0x03 JAVA 0x04 Python 0x05 JS 0x06 Go 0x07 Ruby (三)IAST 1.火线洞态 ...

最新文章

1. 中国投稿第一！ACL2021开幕，历届最大审稿团，预训练刷屏
2. 可以插卡的ipad_ipad哪个可以插手机卡上网的？
3. php queryList函数,QueryList/QueryList.php at master · baijunyao/QueryList · GitHub
4. 【MFC】MFC消息映射(二)
5. java压缩文件出现中文乱码问题
6. SQL:find duplicate rows -- using group or having
7. C语言中__attribute__ ((at())绝对定位的应用
8. vue-cli2定制ant-design-vue主题
9. ubuntu上安装 ibus Google拼音输入法
10. Service Locator Pattern in C# with Lazy Initialization（转）
11. php 检查数据库查询结果,php数据库连接、查询、显示结果的小例子
12. 海康工业相机的一些坑(USB接口的相机连上halcon17后,客户端无法打开相机，错误是无驱动，但是驱动是好好的，如何解决)
13. LINUX虚拟机安装增强功能
14. Python资源下载
15. java安装了怎么打开_怎么安装打开java
16. c语言逻辑推理题大全,C语言逻辑推理例题(附答案)
17. 合并txt文件的几个方法
18. 好用的码字软件，年入百万的大神作家们都在用
19. UPnP 体系架构和基本原理 —— UPnP的描述文件
20. 三方TabNavigator“斗艳”（Flex、JQuery UI和DoJo）

热门文章

1. 每个程序员都必须知道的Unicode以及字节码最基础的知识
2. 在iPad应用中嵌入字体的方法——非人云亦云版
3. firewalld防火墙总结
4. Mavicat连接mysql关闭防火墙_连接navicat的一些问题 主要是防火墙
5. 【2021流量主】365王者打卡前后台源码
6. vue对接汉王ESP1020E签批屏
7. 组态王与485串口设备通讯（485执行Modbus RTU协议）
8. Android 对话框(Dialog)
9. matlab threshold算法_控制与应用技术|基于模糊滑模算法的永磁同步电机无位置传感器矢量控制...
10. 【Mac 软件推荐】控制外接显示器的亮度和声音-MonitorControl