知識星球來自:FreeBuf.COM,作者:陸仁甲
既然是快速上手指南,相信大家看完之後在1個小時之內就能安裝部署到位。
下麵開始正題:
一、功能介紹
1.Web 2.0 攻擊檢測, owasp top 10 漏洞的檢查與攔截,同時輸出日誌資訊。
2.伺服器安全基線檢查。
3.應用加固。
二、rasp與waf區別
WAF(Web Application Firewall),應用防火牆;
RASP(Runtime application self-protection),執行時應用自我保護。
三、優勢與劣勢
優勢1:RASP幾乎沒有誤報情況;
優勢2:RASP可以發現更多攻擊;
優勢3:RASP可以對抗未知漏洞。
四、安裝與配置
虛擬機器環境說明:
| 作業系統 | Debian9 |
|---|---|
| PHP版本 | 7.0.27 |
| nginx版本 | 1.10.2 |
| openrasp版本 | 1.0 rc版 |
如果你要開啟遠端管理,請先參考管理後臺 – 新增主機 檔案,找到appid、appsecret、backend_url三個關鍵引數,然後執行如下命令:
php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX安裝成功之後,在phpinfo()中能看到如下資訊:
在http響應頭中能看到如下資訊:
下麵是駭客攻擊web伺服器之後的攔截效果圖:
五、使用中遇到的問題
問題一:RCE 遠端程式碼執行沒有被攔截
如下圖:
http://192.168.140.128:8010/vuls/rce.php?code=system('whoami')被攔截了,但是
http://192.168.140.128:8010/vuls/rce.php?code=echo php_uname(); 沒有被攔截。
結論:openrasp攔截遠端命令執行漏洞,但是遠端程式碼執行漏洞不攔截。
問題二:XXE 漏洞沒有被攔截
如下圖:
六、漏洞攔截能力測試清單
| 漏洞型別 | 是否能攔截 |
|---|---|
| Sql註入漏洞 | 能 |
| Xss跨站漏洞 | 不能 |
| 檔案上傳漏洞 | 能 |
| Ssrf漏洞 | 能 |
| XXE漏洞 | 不能 |
| 遠端命令執行 | 能 |
| 遠端程式碼執行 | 不能 |
| Java反序列化漏洞 | 能 |
| Lfi本地檔案包含 | 能 |
七、管理後臺的安裝和配置
安裝管理後臺之前需要先安裝ElasticSearch和MongoDB兩種資料庫;資料庫的要求是:
MongoDB >= 3.6;ElasticSearch > 5.6;管理後臺下載地址是:
https://github.com/baidu/openrasp/releases/download/v1.0.0-RC1/rasp-cloud.tar.gz
下載之後解壓縮,具體配置請參考:https://rasp.baidu.com/doc/install/panel.html。
配置成功之後用瀏覽器開啟後臺地址並登陸,截圖如下:
備註說明:管理後臺可以單獨放在內網的一臺伺服器中,推薦使用centos6系統。
比如在內網的web伺服器如nginx,apache,tomcat中大量部署openrasp,只需要一臺伺服器部署管理後臺就可以檢視其它web伺服器的攔截日誌資訊,方便集中統一管理openrasp的日誌資訊。
八、個人點評
Openrasp作為一款有別於waf的防禦工具,雖然漏洞的攔截能力有待提高,但對於中小企業來說是一款不錯的owasp top 10防禦工具,優點是免費開源並支援二次開發,同時支援在內網中大量部署並能集中管理檢視日誌資訊。
