关于百度 OpenRASP 的个人拙见
OpenRASP
简介
OpenRASP 是一个百度安全旗下的免费开源安全项目,全称应该是:Opensource Runtime Application Self-Protection 开源实时程序自保护系统。它隶属于百度 OAESE智能终端安全生态联盟,是其中五大开放技术之一。功能就是——检测网络入侵,从而发现漏洞。
竞品
WAF(Web Application Firewall)即应用防火墙,它被设置在应用的外部边界上,可以通过特定的规则和模式识别出恶意请求,并且把它们拒之门外,是一种被广泛应用的网络安全系统。
OpenRASP 和 WAF 的区别
WAF
WAF 的实现方式属于「门卫模式」。WAF 先确定访问者的身份并根据他的身份特征和特征库进行对比,如果访问者身份特征符合攻击者的特征,便将其拦截在外;如果访问者的身份特征符合正常用户的特征或特征库中不存在此访问者的特征,便放行。
基于 WAF 的实现方式,导致了 WAF 无法摆脱的两个弊端——1.必须根据攻击者的特征进行防御;2.误报率高。倘若攻击者对身份特征再次进行伪装,WAF 必须更新它的特征库,否则将无法有效的阻止攻击者。
OpenRASP
OpenRASP 的实现方式属于「管家模式」。与「门卫模式」不同的是,OpenRASP 并不对访问者进行阻拦,无论是普通访问者还是攻击者都可直接进入。但在应用内部的每一个功能上,OpenRASP 都为其添加了一道「门槛」。
比如根据访问者的操作,需要执行某函数。如果以正确的姿势访问这个函数,OpenRASP 不会阻拦,若是监测到给这个函数的参数有异常「即攻击动作」,则将其拦截,并在后台展示。
「攻击动作」包括:SQL 注入、数据库慢查询、任意文件上传、敏感文件下载等。
攻击者访问程序肯定是要做「坏事」,比如 SQL 注入,攻击者就是要把数据库给拿下来,在攻击者执行「拿数据库」操作之前,做了什么正常操作,OpenRASP 并不关心,一旦检测到攻击者有「攻击动作」则立即拦截。
利用对「攻击动作」的判断,OpenRASP 可以比较精准地揪出恶意攻击行为,有了恶意行为,就可以由此回溯,找到未被发现的漏洞。
区别
WAF 是监视了程序的入口;
OpenRASP 监视了程序所有步骤的上下文联系。
可以举个例子:
如果一个人带着炸弹进办公楼,门卫把他拦住了,说他有大规模杀伤性武器,不能进,这就很正常。但如果这个人拿着个锤子要进来,由于有可能这个人是过来修天花板的;或者这个人天生喜欢锤子,就喜欢拿着自己欣赏,不会对人员设备进行危害;再或者这人就是过来砸门的,门卫不清楚他的目的,就不会妄加拦截;
还是有个人带着锤子进办公楼,没有门卫,但这个人进来之后,二话不说想砸门,这时候有人把他拦下一脚踹出去了,这就是 OpenRASP 的监视上下文联系。
之所以门卫不敢拦下这个拿锤子的人,就是因为他不掌握这个人接下来的行动信息,而 OpenRASP 之所以敢直接把这个人踹出去,是因为他有充足的把握确定这个人接下来的动作就是搞破坏。
OpenRASP 优势
一旦攻击者攻破 WAF 防御的系统,就会留下「后门」,也就是给房子开了个「密道」,以后再想进来,直接走「密道」,根本用不着走正门,导致 WAP 发现这个攻击者的难度进一步加大;
但 OpenRASP 不同,它部署在应用内部,将主流的「攻击动作」的原理抽取出来,形成「指纹」,只要访问者的动作符合「攻击动作」的指纹就将其拦下。也就是「透过现象看本质,只要你不做敏感操作,爱怎么折腾怎么折腾」,所以说,OpenRASP 理论上可以防御某些「脑回路清奇,不按套路出牌」的攻击者。
OpenRASP 劣势
基于 OpenRASP 的特质——运行在应用内部,对程序执行的每个步骤进行监视。导致它比 WAF 更吃内存,更占 CPU。
总结
从道理上来说 OpenRASP 效果会比传统 WAF 好,但就 OpenRASP 的部署、资源消耗等方面来说,还有待提高。
关于百度 OpenRASP 的个人拙见相关推荐
- java入参为方法_Java命令注入原理结合Java Instrument技术(FreeBuf首发)
一.前言 命令注入:恶意用户构造恶意请求,对一些执行系统命令的功能点进行构造注入,从而达到执行命令的效果. 二.演示环境搭建 这里采用springboot+swagger搭建一个模拟的web环境:启动 ...
- Log4j漏洞?一行代码都不改就能永久修复?
△Hollis, 一个对Coding有着独特追求的人△ 作者 l Hollis 来源 l Hollis(ID:hollischuang) 这篇文章我周一发过,但是因为一些"人在江湖.身不由己 ...
- 云原生安全之RASP技术(应用运行时自我保护)
文章目录 一.背景 1. WAF和RASP 2. waf和rasp是非此即彼的吗? 二.RASP技术(应用运行时自我保护) 1. 应用安全测试SAST.IAST.DAST 和 RASP区别 SAST, ...
- 全网连夜修复的Log4j漏洞,如何做到一行代码都不改?
GitHub 21.5k Star 的Java工程师成神之路,不来了解一下吗! GitHub 21.5k Star 的Java工程师成神之路,真的不来了解一下吗! Apache Log4j2 远程代码 ...
- [应急响应]7款WebShell扫描检测查杀工具
1.D盾 防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 功能特性简介 支持系统:win2003/win2008/win2012/win2016 PHP支持:FastCGI/ISAPI ...
- 洞态IAST在某互联网甲方的落地实践
IAST作为开展SDL中黑白盒测试的有效补充,还是很有必要去了解使用的.笔者为了完善公司的SDL流程,调研了开源的IAST产品进行测试和内部推广 刚开始,笔者测试百度OpenRASP的IAST功能(主 ...
- 南京渣硕求职路(网易美团头条百度面经)+Java学习路线(拙见)
首先自我介绍一下,楼主南京渣硕一枚,秋招主要投递JAVA后台岗位,面过以下公司:网易+美团+头条+百度+华为+中兴,拿下了网易和中兴提前批offer,华为依旧泡池子,美团四面挂,头条三面挂,百度今天下 ...
- 百度首席科学家吴恩达谈百度人工智能项目进展情况
吴恩达(Andrew Ng)是人工智能领域的大牛之一.他是Google人工智能部门的其中一位创始人,是2012年Google通过自主学习识别猫图像的深度学习神经网络"DistBelief&q ...
- 百度安全入选中国工业互联网安全市场研究报告推荐服务商
近几年在政府的大力推进下,工业企业积极转型升级,工业互联网市场得到了快速发展.而在这个过程中网络攻击无处不在,网络安全威胁给工业企业数字化转型带来巨大的安全挑战.工业互联网安全建设涉及能源.制造.公共 ...
- linux环境OpenRASP使用教程,OpenRASP技术分析
阅读: 11,455 OpenRASP 将新兴的RASP(Runtime Application Self-Protection)安全防护技术普及化,使其迅速成为企业Web安全防护中的一 ...
最新文章
- java集群调度_Cuckoo-Schedule
- ILRuntime_NewbieGuide—入门
- linux环境安装Kafka最新版本 jdk1.8
- rsync for linux
- 风控算法知识——WOE值的深度理解与应用
- poj 2376 bzoj 3389: [Usaco2004 Dec]Cleaning Shifts安排值班(贪心)
- outlook 2010邮件传输接口错误解决一例
- Intellij IDEA配置优化--转载
- js获取页面 窗口的宽高
- ubuntu 安装 teamViewer 出现错误
- Scrapy 链家网爬取(存储到MySQL、json、xlsx)
- postgresql中recovery.conf分析
- 东北大学材料成型工艺学中期末复习
- 索尼计算机更换硬盘教程视频教程,自己动手,索尼PS4更换SSD硬盘全教程
- matlab设置图片的比例,Matlab 画图字体,字号的设定,图片大小和比例
- 【无人机】【2013.06】自主式无人机在搜救中的应用
- BootStrap---day02、03微金所项目
- 数据科学家:21世纪最脏的工作
- Loup Verlet计算统计力学的创始人
- 深度学习之图像分类(二十六)-- ConvMixer 网络详解