代码拉取完成,页面将自动刷新
最近几年,Web攻击手段开始变得复杂,攻击面也越来越广。传统的安全防护手段,WAF、IDS 等等,大多是基于规则,已经不能满足企业对安全的基本需求。Gartner 在2014年提出了 "应用自我保护" 技术的概念,即 "对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力"。
为此,百度推出了开源的自适应安全产品 -- OpenRASP,希望通过开源免费的形式,让更多的人参与进来,并让互联网变得更加安全
RASP 技术以探针的形式,将保护引擎注入到应用服务中,能够对应用程序的执行流进行实时的检测,并拦截攻击。当应用服务器收到一个恶意请求,保护引擎就可以结合上下文,识别用户输入,检查应用逻辑是否被用户输入所修改,并决定是否阻断这个请求。
这种做法具有如下优势,
请参考官方文档进行安装和配置
另外,为了方便你对软件进行测试,我们提供了一组测试用例,包含OWASP常见安全漏洞,点击这里查看
目前,我们支持 Tomcat 6-9, JBoss 4.X, Jetty 7-9, Resin 3-4, SpringBoot 1-2, WebSphere 8.5 & 9.0, WebLogic 10.3.6 & 12.2, PHP 5.3-7.3 等服务器,更多服务器支持开发中
通常,OpenRASP 对服务器的性能影响在 1
5%,响应延迟 18ms,可忽略
通过 LogStash、rsyslog 等方式,你可以采集每台服务器上的报警日志,并发到中央日志处理平台
插件由JS实现,我们提供了详细的开发和测试 SDK,具体请参考插件开发文档
在使用软件中发现任何问题,你可以通过邮件、QQ技术讨论群或者论坛的形式进行技术交流
官方合作、OEM 合作申请:
fuxi-pm # baidu.com此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。