介绍
自2014年Gartner将RASP列为应用领域的重要趋势以来,互联网企业越来越认识到它是边界模糊后的稳健解决方案。 排队的读者首先需要意识到RASP和WAF不是同一纬度的产品。 “安全技术可以“内置”在APP应用自身或运行时环境中”,其特点是:1. APP应用实时热补丁:出现漏洞时无需修改源代码,只需修改代理添加保护代码即可。
2 .从根本上屏蔽漏洞:不考虑绕过规则等,直接在运行级分析敏感函数是否被调用,在APP内部根据调用栈调用检测模型屏蔽0天。
3 .实现APP应用全生命周期监控,可用性、不可否认性实现审核和日志收集功能。
灵活集成SIEM工具,发挥智能体的灵活优势。
缺点是会导致性能消耗增加、应用稳定性降低,上层业务不知道,模式多为监控记录,屏蔽模式少。
产品
国内有百度开源的OpenRASP产品,实现了对JAVA容器(未来将推出php版本)的支持。 提供攻击检测、CVE漏洞覆盖、服务器安全基线检查和SIEM插件支持。 另一个最早的是javaopenrasp,曾在kcon上发表过,但最近好像没有更新。 商业产品是蓝海通讯发布的oneasp,官网不再打开。 在国外,HP: HP Application Defender、wara tek : applicationsecurityforjava、OWASP: AppSensor、Shandowd: Shadowd、prev
技术实现
PHP RASP方案通过扩展模块实现对规则对应的恶意函数行为、上下文内容的判断和屏蔽。 JAVA的技术方案比较成熟,包括直接修改jvm(waratek产品)和使用JVM编程接口(Jvm tool interface )。 JDK1.5提供了jvm TI技术。 在运行程序main方法之前,在启动JVM时添加-javaagent:参数调用,使用lang.Instrument包创建代理程序,然后以premain方式动态调用java类JDK 1.6代理主方案为虚拟机启动后的动态instrument和nativecode提供instrument。
技术的实现一般是使用premain方式访问程序,实现transform界面的ClassTransformer方式
测试的使用示例如下
rasp鲜明的技术特征是可以通过inst获取虚拟机的各项信息;
2 .代理和主程序使用同一个类加载器,程序定制加载器时需要适配;
3 .类的ProtectionDomain相同,不能通过增减来实现权限的提高。
4 .通过操作系统的字节码返回JVM执行。 具体可以使用asm或Javassist技术实现。
其次是实现具体的适配器和过滤器,实现业务级的操作和功能。 省略说明。 防护水平的比较简单的实现已知如下。
SQL注入、CSRF、XSS、SSRF、任意文件读取下载、任意文件删除、可执行文件上传、命令执行(操作系统注入、Struts2命令执行、反序列化)。
代码编写完成后,可以通过在mf文件中将premain-class配置为代理类名并设置-javaagent来执行代理监视。
总的来说从工程化、系统化能力方面。 目前,中间件rasp的实现有些言过其实,但技术并不复杂,规则是开发的核心,现阶段还不能“适应性”地预测、预防、监测、应对,但这是后期繁荣的关键。
参考资料: