2018-09-11 11:05:0416020人阅读
OpenRASP和WAF的区别在哪里?
WAF 在请求层进行过滤,而RASP技术则是根据应用行为进行过滤。这种技术具有如下优势,
只有成功的攻击才会触发RASP的报警,而WAF是只要匹配特征就会报警 ...
WAF很难完全兼容后端应用的特性,导致防护引擎绕过;而RASP不受影响 ..
可以实现应用热补丁,比如永久免疫 Struts OGNL 系列漏洞,WAF只能不断加规则 ...
可定制安全编码规范、服务器安全基线,WAF做不了 ...
...
目前支持哪些应用服务器?
目前,我们支持 Tomcat 6-8, JBoss 4~6, Jetty 7-9, SpringBoot 等服务器, 详情查看这里,更多服务器支持埋头开发中 ...
OpenRASP 可以检测哪些攻击类型?
OpenRASP 还在不断完善中,具体支持哪些攻击类型、覆盖哪些场景,请查看攻击检测能力说明
OpenRASP 是否会影响服务器的性能?
在最坏的情况下,OpenRASP 对服务器的性能影响在 5% 以内,具体可查看我们的性能报告
如何集成到现有的 SIEM/SOC 平台中?
OpenRASP 以JSON格式输出报警,结合 LogStash、rsyslog 等日志采集工具,可以轻易的和ELK、Splunk等SOC平台集成
如何开发一个检测插件 / 定制安全检测能力?
检测逻辑均由JavaScript插件实现,我们提供了丰富的API,也提供了详细的开发和测试SDK,具体请参考开发文档
对于一个新插件,如何避免产生太多误报,影响业务?
插件支持观察模式,可以只报警,不拦截;为了防止日志量过大影响性能,你还可以配置日志限速,默认是1分钟100条。
为什么选择用 JavaScript 插件实现检测逻辑?
未来,OpenRASP会支持PHP、DotNet、NodeJS、Python、Ruby等多种开发语言,为了避免在不同平台上重新实现检测逻辑,我们决定引入插件系统; 选择JS作为插件开发语言,是因为它更加友好(相比于Lua),成熟的实现也多
安全检测插件是否支持实时更新?
OpenRASP 会监控插件目录,当插件发生变化,就会立即重新加载。若某个插件有语法错误,会打印错误信息并忽略这个插件。
需要注意的是,当你在Linux虚拟机里开发插件,请不要把插件目录放在VMWare共享文件夹里,这会让inotify失效。解决方法是将整个应用目录复制到虚拟机里。
OpenRASP 和商业 RASP 产品的区别在哪里?
作为一款开源产品,OpenRASP可定制化更强,比如我们在v0.21里增加了DB2数据库的支持,目前商业产品均不支持;另外,我们的检测算法、框架都是完全开源的,可随意修改,增加攻击检测插件
还是没能回答你的问题?
请加入QQ技术讨论群,联系群主。群号为 259318664