百度开源项目OpenRASP快速上手指南

印迹

既然是快速上手指南，信赖各人看完之后在1个小时之内就能安装摆设到位。
下面开始正题：
一、功能先容

1.Web 2.0 攻击检测, owasp top 10 毛病的查抄与拦截，同时输出日记信息。
2.服务器安全基线查抄。
3.应用加固。
二、rasp与waf区别

WAF（Web Application Firewall），应用防火墙；
RASP（Runtime application self-protection），运行时应用自我掩护。
三、上风与劣势

上风1：RASP险些没有误报环境；
上风2：RASP可以发现更多攻击；
上风3：RASP可以对抗未知毛病。
四、安装与设置

假造机情况阐明：
操纵体系Debian9PHP版本7.0.27nginx版本1.10.2openrasp版本1.0 rc版假如你要开启长途管理，请先参考管理背景 - 添加主机 文档，找到appid、appsecret、backend_url三个关键参数，然后实行如下下令：
php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX安装乐成之后，在phpinfo()中能看到如下信息：
在http相应头中能看到如下信息：
下面是黑客攻击web服务器之后的拦截结果图：

五、利用中碰到的题目

题目一：RCE 长途代码实行没有被拦截

如下图：
http://192.168.140.128:8010/vuls/rce.php?code=system('whoami')被拦截了，但是
http://192.168.140.128:8010/vuls/rce.php?code=echo php_uname(); 没有被拦截。

结论：openrasp拦截长途下令实行毛病，但是长途代码实行毛病不拦截。
题目二：XXE 毛病没有被拦截

如下图：

六、毛病拦截本领测试清单

毛病范例是否能拦截Sql注入毛病能Xss跨站毛病不能文件上传毛病能Ssrf毛病能XXE毛病不能长途下令实行能长途代码实行不能Java反序列化毛病能Lfi当地文件包罗能七、管理背景的安装和设置

安装管理背景之前必要先安装ElasticSearch和MongoDB两种数据库；数据库的要求是：
MongoDB >= 3.6；ElasticSearch > 5.6；管理背景下载地点是：
http://github.com/baidu/openrasp/releases/download/v1.0.0-RC1/rasp-cloud.tar.gz
下载之后解压缩，详细设置请参考：http://rasp.baidu.com/doc/install/panel.html。
设置乐成之后用欣赏器打开背景地点并登岸,截图如下：

备注阐明：管理背景可以单独放在内网的一台服务器中，保举利用centos6体系。
好比在内网的web服务器如nginx，apache，tomcat中大量摆设openrasp，只必要一台服务器摆设管理背景就可以检察别的web服务器的拦截日记信息，方便会合同一管理openrasp的日记信息。
八、个人点评

Openrasp作为一款有别于waf的防御工具，固然毛病的拦截本领有待进步，但对于中小企业来说是一款不错的owasp top 10防御工具，长处是免费开源并支持二次开辟，同时支持在内网中大量摆设并能会合管理检察日记信息。
泉源：FreeBuf.COM

——END——

接待扫码关注学习，假如悦目点个悦目！