另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,扫描更全面;结合应用探针准确的识别漏洞类型,通过针对性扫描大幅度提升检测效率;商业版新增的动态污点追踪能力,还可以在不扫描的情况下,预判接口是否存在漏洞。
OpenRASP 是经过开源社区大规模验证过的产品,目前客户数量已经过百,QQ群人数超过1400人。如果你在使用过程中遇到任何问题,请在官网找到技术讨论群群号,并联系我们处理。
在这个版本里,我们增加了HTTP响应检测点,第三方类库版本采集,命令语法错误识别等高级功能;在用户体验方面,我们更增加 Kafka 日志推送,合并IAST控制台到现有管理后台。具体请看发版纪要。
重大变更
IAST 扫描工具
- IAST 控制台合入现有管理后台,降低运维成本
- IAST 扫描器改为连接 panel 服务器(以前是连接 agent 服务器)
- IAST 扫描器使用 websocket 连接管理后台,不兼容 v1.3.0 之前的后台
- 老版本后台用户可使用 pip3 命令安装老版本
PHP 版本
- 对于文件相关检测点,若读取文件以流协议开头,将会触发SSRF检测,不会触发文件读写检测
- 受影响协议为: https/http/ftp
- 受影响函数为: file/readfile/file_get_content/fopen/copy/include
- 当
plugin.filter关闭,文件相关检测点将忽略 open_basedir 配置,继续进入插件检测
新增功能
通用改进
- 增加文件删除测点
- 增加 SSRF 跳转后检测点,可检测重绑定攻击
- 增加 HTML 响应检测点,默认每分钟采样5次
- 增加依赖库信息采集,默认6小时采集一次
- Java POM 信息
- PHP composer.json
- 补全 SQL 异常检测点
- PHP 增加 PostgreSQL、SQLite 异常监控
- Java 增加 PostgreSQL、SQLite、Oracle、SQLServer、HSQLDB、DB2 监控
- 弱口令列表支持远程下发
- 加强单机版配置校验
- 当 yaml 最外层键值无法识别时,打印日志
Java 版本
- 增加 Hibernate SQL 检测点
- 增加 nio 检测点
- 增加 SpringBoot 部分注解参数支持
PHP 版本
- SSRF 支持 IPv6 地址解析
- 基线检查: 检测web根目录下是否有压缩包、SQL等敏感文件
- 增加 mysql_db_query、mysql_unbuffered_db_query 检测点
- 增加 print 检测点
管理后台
- 新增
-s restart / -s stop / -s status指令,可以重启后台、关闭后台以及获取状态 - 支持主机设置备注,以及按照备注搜索
- 白名单支持备注
- 支持日志写 kafka
- 报警发送间隔改为前端配置
- 增加报警日志去重,根据请求编号、堆栈MD5、攻击类型计算
- 后台日志增加大小、文件数量限制,可配置
检测插件
- 增加任意文件删除漏洞检测
- 增加 header 注入检测(如SQL注入、命令注入)
- 增加命令执行语法错误监控,以及可疑的注入检测
- 增加 DNS Rebind 方式的 SSRF 攻击
- 增加HTTP响应敏感信息泄漏检查,如{敏感词}、身份证、手机号
BUG 修复
Java 版本
- RaspInstall 安装 rasp.jar 时,先重命名再写入新文件
- 避免修改已经加载的 jar,可能会出现 mmap 问题
- 老文件以 uuid 随机命名,支持多次安装,会在启动时统一删除
PHP 版本
- 当后台下发配置不符合预期,主动上报异常日志
- 修复 Kali 下面日志只会上传一条的问题,感谢 @亿相逢 反馈
- 修复某些情况下,会出现多个
rasp-log进程的问题
管理后台
- 客户端版本聚合接口,没有过滤主机在线状态
- 增加重复白名单校验
