背景
OpenRASP 是百度云分析团队开源的自适应安全产品,它将新兴的 RASP(Run-time Ap-pli-ca-tion Self-Pro-tec-tion)安全防护技术普及化,使其迅速成为企业 Web 安全防护中的一个重要手段,有效增强防御体系纵深和对漏洞防护的适应能力。
比起购买专业的 WAF 软件,使用 OpenRASP 对 Java web 应用进行安全加固便捷多了,我们公司在发布 Web 应用的时候也会部署 OpenRASP。
本文将介绍 OpenRASP 的应用配置及注意事项。
1 介质下载
rasp-java.zip 和 rasp-java.tar.gz 是单机组件,这是下载地址。
2 Java客户端安装
支持自动安装,进入 rasp 所在目录,执行安装命令即可:
java -jar RaspInstall.jar -install <tomcat_root>3 拦截启用
官方插件默认是配置是只 log 不拦截,使用时需要修改 offical.js 的配置,放开拦截功能:
4 白名单配置
Shell 命令调用请求会被官方插件拦截,对于需要调用 Shell 命令的那些请求,应该单点配置白名单。白名单配置位于 $APP_HOME/rasp/conf/openrasp.yml 放开 hook.white ,添加需要的配置项目。
假设我们白名单的需求是这样的:
- 针对所有URL,关闭 SSRF 检测点
- 针对 www.baidu.com,关闭所有检测点
- 针对 pma.baidu.com/phpmyadmin/,关闭 SQL 检测点
定位到 hook.white(如果没有可以手动添加)并增加如下内容:
hook.white:
"*":
- "ssrf"
"www.baidu.com":
- "all"
"pma.baidu.com/phpmyadmin/":
- "sql"5 重定向配置
openrasp.yml 重定向默认拦截时的响应码为 302 ,同时重定向到 block.redirect_url,如果需要按实际情况调整,可按如下步骤完成:
第一,如果应用全为 html 或者页面形式,没有 ajax 请求,默认拦截行为走重定向,修改 block.redirect_url 即可。
第二,同时有 JSON 和 html 响应的应用,需要修改配置,同时支持 ajax JSON 格式请求和 html 响应:拦截时响应码为 200,且返回下面配置的内容
- block.status_code: 200
- block.content_json:以通常标准的 ajax 响应格式的内容
- block.content_html:响应页面
做这个调整主要是为了适应项目的 web 响应格式,即使请求被拦截,客户端也能的到合理的响应结果。
6 拦截策略调整
XSS 检测功能,需要手动调整拦截策略,即修改 action 字段为 block ,official.js 中的拦截策略均可以在 block 和 log 之间按需切换。
OpenRASP 提供了 XSS 用户输入匹配算法,其默认的规则是“当用户输入长度超过15,匹配上标签正则,且出现在响应里,直接拦截”。
即OpenRASP 只会对真实存在、且响应内容为 html/text 类型的请求才进行 xss 检测,不会处理响应 类型为 JSON 的请求;另外,对页面输入的 html 标签之类的行为不会拦截。
7 应用加固支持
OpenRASP 提供了几种安全响应头域,配置为:
inject.custom_headers:
X-Content-Type-Options: nosniff
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Download-Options: noopen它们可以为应用提供点击劫持防护 、MIME 嗅探防护 、XSS Auditor 防护 、文件自动运行防护等防护功能。
8 OpenRASP 产品分析
官方给出的防护能力比较齐全,加上自定义的 XSSFilter ,能极大程度地增强应用的安全性,而且单机 OpenRASP 安装方便,通用性较强。利用OpenRASP 已知的防护能力,应用不用增加额外的加固代码,即使有加固不到位的地方,也无妨。
由于官方插件默认是关闭拦截功能的,需要按应用情况启用一些拦截策略。另外, OpenRASP 虽然是以 instrument 方式将防护引擎嵌入到应用内部的,但是,据官方的性能测试报告,它对应用本身的性能和页面响应能力基本没有影响。
使用 OpenRASP 为应用添加自我保护能力,这点还是极具诱惑力的!
本文暂时没有评论,来添加一个吧(●'◡'●)