OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品
更新如下:
Java 版本
在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件
待应用启动后,OpenRASP 会自动生成新的日志配置文件
Java 包名改为 com.baidu.rasp
解决高版本 JDK 兼容性问题, ISSUE: rhino jdk8u162 兼容性问题 #98
为了降低 Hook 点开发成本,Hook 框架改为 JavaAssist
RaspInstall - OpenRASP 自动安装程序
java -jar RaspInstall.jar -install /home/tomcat
java -jar RaspInstall.jar -uninstall /home/tomcat
为了支持自动卸载,我们调整了 RaspInstall.jar 的命令行参数
SQLi 检测算法 #2,默认关闭常量对比算法
在真实业务里,经常有编码不规范的情况,会造成误报,e.g AND ((0='' OR 0='0')
命令执行检测逻辑调整
为了检测非常规的反序列化、命令执行漏洞,当命令执行来自非 HTTP 请求,也将会进入检测点
适合检测 CVE-2016-8735 、 CVE-2018-1270 等漏洞
Java 版本增加 Ascii Logo,启动时打印
增加 JDBC Prepared SQL Hook 点
支持 Resin 3.X、4.X 服务器
增加自定义编码配置,允许用户设置 context.parameter 的编码
增加 jnotify 异常的获取
由 @园长MM 反馈
ProcessBuilder 存在绕过,我们将 Hook 点改为了更底层的 UNIXProcess、ProcessImpl 类
PHP 版本
当文件不存在,file_put_contents 不会调用检测插件,已修复
解决日志模块一处内存泄露问题