实时应用自我保护-RASP

实时应用自我保护-RASP

是一种基于云的应用程序自我保护服务，可以为软件产品提供实时保护，使其免受漏洞所累

应用安全现状

IT 技术扩张迅猛，各种高级攻击层出不穷。
其中，超过 80% 的恶意攻击发生在应用层，且被攻击者往往损失惨重。
同时，开源框架引入比率大幅度增高，面对突发漏洞往往束手无策。
自身代码问题虽然可以修复，但修复周期长，期间损失无法避免

RASP 的工作原理

OneRASP安装过程简单便捷，无需修改代码，更新配置后几分钟即可提供自动化保护。OneRASP的安全保护控制点通常放在应用程序和其他系统的交互连接点上，包括和用户、数据库、网络以及文件系统的连接点。OneRASP在这些节点上监听所有交互行为，一旦发现威胁行为，在监控模式下，OneRASP会记录威胁的攻击路径，提供如何修复这些问题的建议并通知安全管理员。在防护模式下可以实时拦截威胁行为。

RASP 和 WAF（Web应用防火墙） 的区别

RASP是什么？全称是实时应用自我保护，它在应用程序里实时对安全威胁进行监控，告警和拦截。

RASP不仅仅是一个新的保护层，它将保护行为像疫苗一样注入应用程序里，使应用程序具备免疫能力，从而能进行自我保护。

WAF放置在Web应用程序外层，拦截所有它认为可疑的输入而并不分析这些输入是如何被应用程序处理的。

RASP会精确分析用户输入在应用程序里的行为，根据分析结果区分合法行为还是攻击行为，然后对攻击行为进行拦截。

 RASP不依赖于网络流量分析，因此避免了新协议解析，字符解码，复杂的正则表达式匹配以及基于签名的威胁鉴别等麻烦。

 应用层安全防护服务RASP规则集

 SQL注入

 网站应用程序未对用户输入数据的合法性进行验证，使得攻击者可以注入恶意的SQL代码，对系统数据库造成伤害

 跨站脚本攻击

 跨站脚本攻击XSS全称Cross Site Scripting,指的是恶意攻击者向Web页面里插入恶意代码，当用户浏览该页之时，嵌入的恶意代码会被执行，从而达到特殊目的。

 系统信息泄露

 泄露有提示作用的系统信息或debug信息，会为攻击者在攻击实施前的准备工作提供帮助

未验证的定向和转发                                    

指网站应用程序在接收到特定参数后，将用户重定向到未验证的其它网站，

这个漏洞使用户在未察觉的情况下访问钓鱼网站或恶意网站

 非标准请求

1. 丢失HTTP HEADER 应用服务器收到的HTTP请求中不包括Accept header将触发规则

2. 丢失HTTP Content-type 若HTTP请求中Content-length大于零且没有Content-Type时，规则被触发3. 不支持的方法 若HTTP请求的方法违反可配置列表（GET|POST|PUT），则规则被触发