OpenRASP 常见问题解答

2018-09-11 11:05:0416020人阅读

OpenRASP和WAF的区别在哪里?

WAF 在请求层进行过滤,而RASP技术则是根据应用行为进行过滤。这种技术具有如下优势,

  • 只有成功的攻击才会触发RASP的报警,而WAF是只要匹配特征就会报警 ...

  • WAF很难完全兼容后端应用的特性,导致防护引擎绕过;而RASP不受影响 ..

  • 可以实现应用热补丁,比如永久免疫 Struts OGNL 系列漏洞,WAF只能不断加规则 ...

  • 可定制安全编码规范、服务器安全基线,WAF做不了 ...

  • ...

 

目前支持哪些应用服务器?

目前,我们支持 Tomcat 6-8, JBoss 4~6, Jetty 7-9, SpringBoot 等服务器, 详情查看这里,更多服务器支持埋头开发中 ...


OpenRASP 可以检测哪些攻击类型?

OpenRASP 还在不断完善中,具体支持哪些攻击类型、覆盖哪些场景,请查看攻击检测能力说明

 

OpenRASP 是否会影响服务器的性能?

在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内,具体可查看我们的性能报告

 

如何集成到现有的 SIEM/SOC 平台中?

OpenRASP 以JSON格式输出报警,结合 LogStash、rsyslog 等日志采集工具,可以轻易的和ELK、Splunk等SOC平台集成


如何开发一个检测插件 / 定制安全检测能力?

检测逻辑均由JavaScript插件实现,我们提供了丰富的API,也提供了详细的开发和测试SDK,具体请参考开发文档


对于一个新插件,如何避免产生太多误报,影响业务?

插件支持观察模式,可以只报警,不拦截;为了防止日志量过大影响性能,你还可以配置日志限速,默认是1分钟100条。

 

为什么选择用 JavaScript 插件实现检测逻辑?

未来,OpenRASP会支持PHP、DotNet、NodeJS、Python、Ruby等多种开发语言,为了避免在不同平台上重新实现检测逻辑,我们决定引入插件系统; 选择JS作为插件开发语言,是因为它更加友好(相比于Lua),成熟的实现也多

  

安全检测插件是否支持实时更新?

OpenRASP 会监控插件目录,当插件发生变化,就会立即重新加载。若某个插件有语法错误,会打印错误信息并忽略这个插件。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。


OpenRASP 和商业 RASP 产品的区别在哪里?

作为一款开源产品,OpenRASP可定制化更强,比如我们在v0.21里增加了DB2数据库的支持,目前商业产品均不支持;另外,我们的检测算法、框架都是完全开源的,可随意修改,增加攻击检测插件

 

还是没能回答你的问题?

请加入QQ技术讨论群,联系群主。群号为 259318664

0
现金券
0
兑换券
立即领取
领取成功