展开

关键词

RASP实践分析

传统的安全防护手段,WAF、IDS(入侵检测系统),大多是基于规则,已经不能满足企业对安全的基本需求。对所有的请求都匹配规则,拖慢服务器性能。 产品形态: 硬件、软件、云。 RASP可以检测那些漏洞 攻击类型 RASP支持 WAF支持 跨站脚本(XSS) ✔ IP vim rasp-cloud-2021-02-07/conf/app.conf [20210321231445.png] 5、启动后台管理系统 . /rasp-cloud-2021-02-07/rasp-cloud -d 6、访问后台 http://172.26.81.233:8086/ [20210321231555.png] 7、点击添加主机 tar -xvf rasp-php-linux.tar.bz2 cd rasp-\*/ install.php 进行安装 .

42530

RASP攻防 —— RASP安全应用与局限性浅析

一、 RASP架构原理简要介绍 以PHP语言为例,PHP语言自身提供扩展机制,可以基于扩展机制开发RASP系统。 三、RASP 对抗浅析 在上文中,介绍了PHP RASP的安全应用场景和实现原理,写了很多RASP的优点,但俗话讲的好:没有绝对安全的系统,接下来分享一下RASP存在的不足。 先看一下RASP在LINUX系统中的层级: rasp层级.png PHP RASP作为php解释器的扩展,运行在php解释器层面,也就是说在与PHP RASP同级或者在其层级之下的操作,它的监控基本上是失效的 GOT 表劫持 在linux系统中,procfs 文件系统是个特殊的存在,对应的是 /proc目录,php 可以通过/proc 目录读写自己所在进程的内存,将非敏感函数地址替换成glibc 中的system 但是安全没有银弹,不存在一劳永逸的系统和办法,在漏洞/入侵检测上我们需要扫描器,WAF,IDS,EDR等系统的配合共建防御体系,纵深防御才是长久之道,并且需要持续研究在对抗中不断提升和发展。

74830
  • 广告
    关闭

    开发者专享福利,1988元优惠券限量发放

    带你体验博客、网盘相册搭建部署、视频渲染、模型训练及语音、文字识别等热门场景。云服务器低至65元/年,GPU15元起

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Java安全之JNI绕过RASP

    Java安全之JNI绕过RASP 0x00 前言 前面一直想看该JNI的相关内容,但是发现JNI的资料还是偏少。后面发现JNI在安全中应用非常的微妙,有意思。 0x03 JNI 绕过RASP 执行命令 在RASP里其实是Hook掉了一些Runtime、ProcessBuilder 等类,但是Runtime.exec调用的是ProcessBuilder.start 假设一个场景一个站点使用RASP,这时候如果上传一个webshell 那么这时候就会去用到JNI去调用该dll文件就可以进行一个绕过,可以先来实现这么一个功能,后续还需要考虑到的是怎么将几个文件封装到一起 (ipconfig); } } image.png 调用栈: image.png 命令就执行成功了,这里不是调用一些自带的Runtime等方法,而是调用dll文件中封装的方法,能够去绕过一些RASP

    8810

    JNI技术绕过rasp防护实现jsp webshell

    想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。 java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp 实战使用 经测试:jdk1.7+tomcat8.5+windows环境 jdk10+tomcat+Mac rasp安全防护全开。 rasp安全防护全开。 ? ? ? e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %> 毫不意外的被rasp 使用jni突破rasp的jsp来执行shell,成功绕过。 成功绕过。 ? 使用d盾查杀 ? virustotal: ? 其他 如果您有其他的思路和建议,欢迎同我交流:)

    90720

    web安全防御之RASP技术

    0x00:web安全防御技术介绍 1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤,其中功能设计、编码测试 、发布部署、系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。 ,通常部署在Web应用系统的外部边界,所有正常或恶意流量都需要通过特征规则和模式识别,通过特定的规则和模式识别出恶意请求,并且把它们拒之门外,拒绝向高风险的Web请求提供服务。 2.监控点位于应用程序的输入输出位置: 输入点包括用户请求、文件输入等;输出点包括包括数据库、网络、文件系统等。 3.RASP能做什么? ?                  由于rasp与业务系统须要深度合作,会和业务逻辑紧密结合,可能稳定性问题是须要重点考虑的了,其实不论实现产品的技术是什么样的,可能大家实现的方式不一样,使用的名称不一样,不过最终的目的就是为了保护应用程序安全

    4.5K31

    JNI技术绕过rasp防护实现jsp webshell

    想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。 java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp 实战使用 经测试:jdk1.7+tomcat8.5+windows环境 jdk10+tomcat+Mac rasp安全防护全开。 rasp安全防护全开。 ? ? ? e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %> 毫不意外的被rasp 使用jni突破rasp的jsp来执行shell,成功绕过。 成功绕过。 ? 使用d盾查杀 ? virustotal: ?

    93410

    Python RASP 工程化:一次入侵的思考

    Tips: RASP,全称应用运行时自我保护解决方案,可以简单理解为部署在应用环境的监控防御程序。 从Python语言本身出发,监控整个Python的动态行为,这就是Python RASP。 研究Python RASP值不值得花时间呢? 说实话,有开源的PHP RASP,JAVA RASP,还真的没有Python RASP,下面的研究完全是一个摸索的过程。 在研究的过程中,我碰到两次僵局,穷途陌路之感,差一点以为Python RASP 不能发挥很大的作用。 兼容性: Python RASP 对于Py2和Py3要进行兼容性处理。 自保护:其实对于Python RASP有很多逃逸的方式,对此我们要进行加固,下一篇我们会讲解逃逸和加固。

    84720

    针对宝塔的RASP及其disable_functions的绕过

    0x02 概述无聊的时候和宝塔开发聊天,听他说了宝塔在开发一个基于底层的rasp,拦截所有基于www权限的命令执行。 0x02 概述 无聊的时候和宝塔开发聊天,听他说了宝塔在开发一个基于底层的rasp,拦截所有基于www权限的命令执行。 主要挑战内容就是在他们的防跨站,也就是在他们的open_basedir限制了目录的情况下,先突破 disable_functions,然后在突破他们的rasp。 0x03 如何通过劫持GOT表绕过 disable_functions 在突破rasp前,我们首先得先能碰到rasp,不然disable_functions都过不去,何来绕过rasp之说。     0x70 pop eax syscall push    0x39 pop eax syscall test    eax, eax jne 0x31 这段简单的汇编非常简单,我们通过0x39这个系统调用号来调用

    21920

    腾讯安全正式发布RASP+方案——泰石引擎

    泰石引擎是腾讯安全为应对频发的0Day、nDay漏洞而开发的一套基于虚拟补丁的漏洞防御系统。该系统融合了腾讯前沿的漏洞挖掘技术、实时高危漏洞预警技术,捕捉、分析0Day漏洞。 可以自动检测 Java 等应用服务进程、自动注入RASP 插件,通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御,为企业带来无需重启、无感防护的升级体验。 不全面:老旧系统缺乏维护;容器应用成防护盲点因为长期无人维护,即便补丁更新后,面对老旧系统,安全人员也不敢随意升级;对于业务容器化客户,容器资产中的漏洞发现及防护缺乏相应手段,容器常常成为攻击者的突破口 RASP+方案,加在哪?相较于传统方案,腾讯安全RASP+方案泰石引擎具备以下优势:01: 0day原生免疫借助云上优势,自动化高效响应高危漏洞,做到一键防御,快人一步,有效避免给黑客可趁之机。 相比主流RASP方案需要手动安装、配置,RASP+方案可以一键启停漏洞防御能力,无需企业配置接入应用、修改应用启动参数或重启业务进程,将对企业业务的影响和投入成本降至最低。

    8120

    OpenRASP梳理总结

    “运行时应用程序自我保护”的概念由Gartner在2014年提出,含义是:对应用服务的保护不应该依赖于外部系统,应用应该具备自我保护的能力。 RASP 运行在应用程序的内部,监听每一个与应用程序交换的节点,覆盖所有应用程序的访问节点,包括:用户、数据库、网络和文件系统,从而实时监测并拦截漏洞攻击。 通俗来讲,RASP将安全保护代码嵌入到运行中的服务器应用程序,它会实时拦截所有的系统调用并确保调用安全,最终实现应用程序自我保护。 这意味着这两种安全系统可供判断的信息量是不一样的。 漏洞依然存在 使用 RASP 并不是真正建立一个安全的应用,系统中存在的漏洞还是存在。应用RASP,只是临时提供一个虚拟补丁修补上已知漏洞,如果不用RASP,这些漏洞还是存在。

    81430

    RSA 创新沙盒盘点| Sqreen—WAF和RASP综合解决方案

    三、产品介绍 Sqreen产品平台主要包括应用程序运行时自我保护(RASP)以及In-App Web应用防护系统(In-App WAF)。 01 Sqreen RASP Sqreen的RASP防护模块可防护OWASP Top 10漏洞(例如SQL注入,XSS攻击,代码注入等),从而降低数据泄漏带来的风险。 该RASP架构可以在传统的HTTP层防护外,有更深入的可视度和防护能力。 2、 Sqreen的产品能够自动化防御攻击,产品采用各个安全模块进行防护,包括RASP以及In-App WAF等。 这些模块不需要复杂配置即可适应于客户的应用程序。 五、总结 WAF和RASP已经是当前Web安全防护的重要产品,特别是WAF,已成为大部分企业部署Web安全机制时都会用到的安全防护产品。

    65310

    红蓝对抗——加密Webshell“冰蝎”攻防

    RASP 运行在应用内部,失败的攻击不 会触发检测逻辑,所以每条攻击都是成功的报警。 其次,RASP 可以发现更多攻击。以SQL注入为例,边界设备只能看到请求信息。 RASP 不但能够 看到请求信息,还能看到完整的SQL语句,并进行关联。如果SQL注入让服务器产生了语法错误或 者其他异常,RASP引擎也能够识别和处理。 最后,RASP 可以对抗未知漏洞。 比如RASP对应用侵入过大、angent的安装可能对系统性能的影响、企业大规模部署运维的压力等等。 (2)Linux audit日志检测 虽然冰蝎通讯流量是加密的,但落到主机侧,还是会调用系统命令,所以可以在主机审计日志层面定制检测规则,监控冰蝎对系统命令的调用。 Linux审计系统提供了一种跟踪系统上与安全相关的信息的方法。

    1.4K30

    企业快速实践部署IASTRASP的一种新思路

    0x01挑战 IAST/RASP的原理这里就不介绍了,其主要优点就是检测精准。 技术是好技术,但要在企业中大规模部署,它的缺点也很明显: 要实现大规模部署,我行几千应用系统、几万服务器的适配、测试、部署、维护…这推广、维护工作太重。 虽然在c0debreak大佬团队的努力下,rasp agent对服务器的性能影响已可控制到3%左右。但在银行交易系统中,我们也不敢轻易“玩火”,只能将目标锁定在后管类系统上。 一般此类APM都是由架构运维部门负责,且基本能够覆盖绝大数业务系统,已完成从0到1的大面积推广及运维保障。如果安全赋(寄)能(生)在它们的agent上,就能解决我们的问题。 目前我们共实现三种检测逻辑:mark标识位、黑名单检测、入参比对,分别对应测试环境中IAST漏洞扫描以及生产环境中RASP攻击监测(RASP暂时只实现告警)。

    63320

    网站防御|OpenRASP单机版安装教程

    本站安装的是php的单机版本,需要安装其他的可以去官网查看哦~[aru_31] OpenRASP Gartner 在2014年提出了 运行时应用自我保护 技术的概念,即 对应用服务的保护,不应该依赖于外部系统 官网地址:https://rasp.baidu.com/ 安装配置 1.需要php环境(任意版本的,本站是php7.2) 2.openRASP安装包(演示时候用的是1.2.4) 3.本站用的是centos7 系统 安装教程 1.在你的服务器上下载openRASP安装包 wget https://packages.baidu.com/app/openrasp/release/1.2.4/rasp-php-linux.tar.bz2 2.解压 tar -xjf rasp-php-linux.tar.bz2 3.安装php单机版 先进入到rasp的目录下,就是上图所示的。 php install.php -d /opt/rasp  4.打开拦截插件(默认是关闭的) vim /opt/rasp/plugins/official.js 温馨提示 然后保存退出~再重启php

    7910

    一枚通过参数污染绕过百度RASP的XSS

    日常工作过程中,偶然发现一个网站登录页面,在页面返回包中存在一个隐藏参数“mess”,且该页面部署了百度RASP进行防护,本文介绍如何发现隐藏参数以及如何通过参数污染方式造成XSS攻击。 三、尝试绕过百度RASP 百度RASP:OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护, 经测试使用常规XSS payload均被RASP拦截 使用参数污染进行绕过: Step1: 尝试输入两个”mess”参数,确认可被服务端接收的值 请求包: ? 四:总结 本文从寻找隐藏参数到常规payload被RASP拦截,再到参数污染方式进行绕过并处理多值接收的“,”问题,最终构造出了可成功执行的payload。

    27720

    OpenRASP SQL注入绕过

    OpenRASP介绍 OpenRASP即应用运行时自我保护,“可直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞”——https://rasp.baidu.com image.png image.png 0x03 绕过OpenRASP进行SQL注入 操作:新增一个参数(参数名为一个无意义的参数名即可),注意该参数需要在被注入参数的前面,以保证rasp先检测该参数 但是对于json格式的请求报文,除了上述的请求参数污染外,还可以通过添加或者修改header(User-Agent/X-Forwarded-For/Referer)内容,从而绕过open rasp检测。 在_run方法中,使用RASP.sql_tokenize方法会将执行的SQL语句解析成一个个token,解析的结果中不会包含注释部分。    从而绕过open rasp检测。 image.png 0x05 最后 使用OpenRASP并不能保证应用程序绝对的安全,代码安全才是治本之道。

    1K60

    3行代码就能可视化Transformer的奥义 | 开源

    RASP代码被编译成一个两层三头的Transformer架构。 这就是RASP,以色列科学家最新研发的一种简单的序列处理语言。 他们希望通过这一语言去计算和解决更高层次的抽象问题。 这就是RASP,全称限制性访问序列处理语言。 怎样一个计算模型 好,现在来看看这个RASP到底是由什么构成的: 内置的序列操作符(built-in s-ops) 在RASP中编程的目标就是将这些序列操作符组合成起来,去计算最终的目标任务。 RASP允许每个输入定义选择一种注意力模式,再通过加权平均,将输入值混合成一个新的输出。 那么它是如何进行编译呢? 当你输入这样3行代码: ? RASP就能将序列操作符和输入对的编译流程可视化: ? 而在根据RASP预测尺寸训练的Transformer减少它的头数和层数时,准确率会发生大幅下降**。 ? △用L、H表示编译的RASP程序所预测的层数和头数。

    13510

    3行代码就能可视化Transformer的奥义 | 开源

    RASP代码被编译成一个两层三头的Transformer架构。 这就是RASP,以色列科学家最新研发的一种简单的序列处理语言。他们希望通过这一语言去计算和解决更高层次的抽象问题。 这就是RASP,全称限制性访问序列处理语言。 怎样一个计算模型 好,现在来看看这个RASP到底是由什么构成的: 内置的序列操作符(built-in s-ops) 在RASP中编程的目标就是将这些序列操作符组合成起来,去计算最终的目标任务。 RASP允许每个输入定义选择一种注意力模式,再通过加权平均,将输入值混合成一个新的输出。 那么它是如何进行编译呢? 当你输入这样3行代码: ? RASP就能将序列操作符和输入对的编译流程可视化: ? 而在根据RASP预测尺寸训练的Transformer减少它的头数和层数时,准确率会发生大幅下降**。 ? △用L、H表示编译的RASP程序所预测的层数和头数。

    19420

    扫码关注腾讯云开发者

    领取腾讯云代金券