转载

OpenRASP v1.3.4 发布,修复多个问题

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

另外,OpenRASP 提供的IAST解决方案,相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理,扫描更全面;结合应用探针准确的识别漏洞类型,通过针对性扫描大幅度提升检测效率;商业版新增的动态污点追踪能力,还可以在不扫描的情况下,预判接口是否存在漏洞。

OpenRASP 是经过开源社区大规模验证过的产品,目前客户数量已经过百,QQ群人数超过1700人。如果你在使用过程中遇到任何问题,请在官网找到技术讨论群群号,并联系我们处理。

在这个版本里,我们修复了多个问题。

优化改进

PHP 版本

  • 修复某些 PHP 5.3 的环境,获取到的 header 可能为空的问题
  • 修复插件里正则写错时,会抛出异常的问题
  • 修复在云控连接成功前,就启动web目录敏感文件检测,导致匹配错误的问题
  • 加强 array_map 兼容性,避免第一个参数为空时打印多余日志

Java 版本

  • 增加宝兰德BES支持,感谢 @枫舞蝶殇 提交的补丁
  • 修复某些情况下,Tomcat 9 启动时候可能会卡顿的问题
  • 修复某些 yum 安装的 tomcat 服务器,RaspInstall 会失败的问题
  • 增加 yaml 反序列化白名单,感谢 @kkskk 提交的补丁
  • 修复 SpringBoot 某些情况下采集不到依赖的问题
  • 对于非HTTP请求,修复报警里缺少资产IP的问题

检测插件

  • SQL注入: 内部有误报场景,默认关闭十六进制字符串检查
  • 任意文件写入: 拦截基于反序列化写webshell的操作,如fastjson漏洞

管理后台

  • 应用快速切换,改为动态搜索,并展示前100个匹配结果
  • 攻击事件详情增加RASP版本展示
  • 支持自定义日志路径,配置名称为 LogPath
  • 主机搜索接口,改为批量搜索模式
  • 支持保留插件配置,开源版本仅保留 action 字段
  • 支持导出应用数据,并导入到商业版
  • 支持清理离线超过N天的主机,默认是1天,可配置
  • 修复JSON请求数据展示不正确的问题
  • 修复当客户端时间不正确,后台不会发出报警的问题
  • 修复弱口令基线报警,未能正确展示数据库类型的问题
原文  https://www.oschina.net/news/117021/openrasp-1-3-4-released
正文到此结束
Loading...