集成openRASP与攻击测试
1.介绍
openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。
更多详细的说明可以参考官方文档:https://rasp.baidu.com/doc/
2.集成openRASP到项目中
openRASP针对不同的服务器,提供了不同的安装方法,但是基本上都大同小异,本文以SpringBoot为例,springboot又可以打成jar包或者war包,本项目使用jar包部署,演示如何将openRASP集成到SpringBoot项目中。
2.1 下载压缩文件
下载地址:https://github.com/baidu/openrasp/releases
2.2 解压并复制文件
将上面下载的压缩包,解压,将其中的rasp文件复制到jar包的同级目录中
ps:复制文件夹命令:cp -R
image.png
修改rasp目录的权限
命令:chmod 777 -R rasp
2.3 配置启动参数
ps:添加配置参数时,指定了rasp-log4j.xml 文件,这是启动时自动生成的,无需创建。
如果是直接java -jar启动jar包
直接追加启动参数:
java -javaagent:"/weblogic/app/deploy/jcpt/rasp/rasp.jar" -Dlog4j.rasp.configuration="file:///weblogic/app/deploy/jcpt/rasp/conf/rasp-log4j.xml" -jar jcpt.jar
本项目是jenkins部署,利用shell脚本启动jar包,所以需要修改shell脚本内容,添加启动参数
找到对应的shell脚本位置(本项目shell位置:/weblogic/shell/),编辑脚本,添加配置参数
2.4 重启springboot项目,并验证是否安装openRASP成功
本项目使用jenkins部署,重启项目,需要重新build
image.png
验证是否安装成功有两点:
一:查看rasp的log:/rasp/logs/rasp/下的log文件,如果出现OpenRASP Engine Initialized 字样,就表示安装成功
二:访问web网站,检查响应的 Header 是否包含 X-Protected-By 字样,有就表示安装成功
到此为止,就已经将openRASP集成到了项目中
3.安装管理后台
安装管理后台以后,可以在图形化的界面查看openRASP信息,比如拦截情况等等。
3.1 安装 ElasticSearch 和 MongoDB
管理后台依赖ElasticSearch和MongoDB才可以正常运行。
并且还有版本要求:
MongoDB >= 3.6
ElasticSearch >= 5.6
3.2 下载管理后台
下载地址:https://github.com/baidu/openrasp/releases
解压至任意服务器任意目录(后台管理的服务器和项目运行的服务器能联通)
本例中解压到:机器的/opt/rasp-cloud-2019-01-04/
image.png
3.3 配置并启动管理后台
image.png
启动后台管理:
./rasp-cloud -d
3.4 访问后台管理页面
http://ip:8086
默认的用户名密码是:openrasp/admin@123
默认有一个php示例应用
4 将管理后台和项目连接起来
4.1 在管理后台创建应用
在此添加一个Java应用
4.2 添加主机
获取到这三个数据
4.3 将上述三个数据配置到rasp的配置中
/rasp/conf/下面(是springboot项目的rasp的conf,不是后台管理的conf)
image.png
4.4 重启springboot项目,检测后台管理页面是否可以查看到对应的主机
image.png
到此,后台管理也搭建完成
5. 攻击测试
openRASP是安全框架,在这里就使用sqlmap进行sql注入攻击,来查看openRASP是否有效果,关于sqlmap的使用,可以查看本人另一篇文章,地址是:https://www.jianshu.com/p/3d3656be3c60
但是由于项目中的代码并没有sql可以注入的地方,所以本人故意在项目中添加一个拥有sql漏洞的接口,用于检测openRASP是否可以拦截到
5.1 包含sql漏洞的接口代码
package com.base.web.aisino.web;
import com.alibaba.fastjson.JSONObject;
import com.base.web.common.base.ApiResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.*;
import java.sql.*;
/**
* @author ah.zhanglei3@aisino.com
* @ClassName
* @Description 测试OpenRasp
* @Date 18:42 2019/3/16
*/
@RestController
@RequestMapping("/test")
public class TestOpenRaspWebService {
private final Logger logger = LoggerFactory.getLogger(TestOpenRaspWebService.class);
private String resultSetString1;
private String resultSetString2;
private String resultSetString3;
private String resultSetString4;
@PostMapping("/openrasp")
public ApiResponse getRecidDateData(@RequestParam("userId") String userId) throws ClassNotFoundException, SQLException {
logger.info("请求->测试opensasp->输入参数【userId:"+userId+"】");
//1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//2.获取链接
Connection connection = DriverManager.getConnection("jdbc:mysql://192.168.202.162:3306/jcpt?useUnicode=true&characterEncoding=utf8", "root", "ybf5mysql");
//3.创建执行sql语句的对象
Statement statement = connection.createStatement();
//4.sql语句
String sql = "select * from sys_user where user_id= "+userId+";";
//5.执行sql语句
ResultSet resultSet = statement.executeQuery(sql);
//6.对结果集进行处理
if(resultSet.next()){
logger.info("取值成功");
//获取第一列和第二列的值,不是从0开始
resultSetString1 = resultSet.getString(1);
resultSetString2 = resultSet.getString(2);
resultSetString3 = resultSet.getString(3);
resultSetString4 = resultSet.getString(4);
logger.info(resultSetString1+"--"+resultSetString2+"--"+resultSetString3+"--"+resultSetString4);
}else {
logger.info("取值失败");
}
//7.关闭
if (resultSet != null){
resultSet.close();
}
if (statement != null){
statement.close();
}
if (connection != null){
connection.close();
}
JSONObject jsonObject = new JSONObject(16);
jsonObject.put("data",resultSetString1+"--"+resultSetString2+"--"+resultSetString3+"--"+resultSetString4);
logger.info("数据库返回结果->测试opensasp->返回结果参数【result:"+jsonObject+"】");
return ApiResponse.ofSuccess(jsonObject);
}
}
5.2 sqlmap攻击本地没有集成openRASP的代码
执行sqlmap:
python2 sqlmap.py -u "http://localhost:9099/test/openrasp?userId=1" --cookie="JSESSIONID=d8f4209e-848b-405c-8986-907c4de6d984" --method=POST
sqlmap顺利的找到了漏洞:
现在尝试利用这个漏洞获取一些数据库的信息
获取数据库名:
python2 sqlmap.py -u "http://localhost:9099/test/openrasp?userId=1" --cookie="JSESSIONID=d8f4209e-848b-405c-8986-907c4de6d984" --method=POST --dbs
获取数据库的表名:
python2 sqlmap.py -u "http://localhost:9099/test/openrasp?userId=1" --cookie="JSESSIONID=d8f4209e-848b-405c-8986-907c4de6d984" --method=POST -D jcpt --tables
image.png
获取数据库jcpt的sys_user表的列名:
python2 sqlmap.py -u "http://localhost:9099/test/openrasp?userId=1" --cookie="JSESSIONID=d8f4209e-848b-405c-8986-907c4de6d984" --method=POST -D jcpt -T sys_user --columns
可以看到,sqlmap可以通过注入拿到一些数据库的信息
5.3 sqlmap攻击集成了openRASP的代码
执行sqlmap:
python2 sqlmap.py -u "ip:9099/test/openrasp?userId=1" --cookie="JSESSIONID=95571903-b864-4ef7-8c22-d52fe3203e8a" --method=POST
这时sqlmap就找不到注入点了:
同时查看网站日志,可以看到,sqlmap的攻击行为都被openRASP拦截了
最后查看openRASP后台管理页面
可以看到,openRASP的拦截记录
image.png
6. 总结
openRASP的简单使用就是这样,它还有更多的功能,比如大规模部署,SIEM系统集成等。
同时我们还可以对openRASP进行插件开发,二次开发等,定制openRASP的功能。
