OpenRASP v0.40发布，正式支持PHP 7

重大变更

Java 版本

• 命令执行 hook 点，命令参数统一改为字符串形式

• 所有报警消息改为英文，下个版本增加翻译支持

PHP 版本

• 所有报警消息改为英文，下个版本增加翻译支持

新增功能

PHP 版本

• 正式支持 PHP 7.0~7.2

• 增加对 SQL prepared statement 的支持

• 使用 v8 default platform 替换自定义 platform，提供更通用的后台任务能力和错误溯源能力

Java 版本

• 增加 rename hook 点

算法变更

• 命令执行

• 若完全没有命令执行需求请手动修改 command_other 算法开关为 block

• 此开关不影响反序列化命令执行的拦截，或者其他算法的检测

• 增加对 FreeMarker 模板执行命令的识别

• 默认不再拦截所有的命令执行

• SSRF

• 增加对特殊协议的检测，以及对应的检测开关。包括 php://、file:// 等等

• 用户输入匹配算法，增加对 127.X.X.X 的识别

• 增加 @dos_man 反馈的一个 dnslog 地址 *.tu4.org

• 文件目录遍历

• 修复一个 @Leesec 报告的 /../../ 检出绕过问题

• PHP 堆栈检测算法

• 修复 @Ezreal 报告的一个 call\_user\_func 误报问题

• 后门上传检测

• 增加对 rename 的监控，防止通过重命名写入 webshell

• SQL 注入

• 增加全局LRU缓存，当检测结果为 ignore 时不再重复检测，以提高性能

• 用户输入匹配算法，参数最短长度可配置

• 增加对 into outfile 的检测，并增加相应的检测开关

Bug 修复

PHP 版本

• 增加60多个单元测试，修复2处参数解析错误问题

• 优化不同协议的处理逻辑，若协议不支持写操作，将不再进入检测插件

• 修复一个左右斜杠混用，导致的路径精简失败的问题

其他变更

• 增加新的拦截页面