- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础web安全
RASP实践分析
RASP可以检测那些漏洞 攻击类型 RASP支持 WAF支持 跨站脚本(XSS) ✔ /rasp-cloud-2021-02-07/rasp-cloud -d 6、访问后台 http://172.26.81.233:8086/ [20210321231555.png] 7、点击添加主机 下载 PHP 安装包 curl https://packages.baidu.com/app/openrasp/release/1.3.6/rasp-php-linux.tar.bz2 -o rasp-php-linux.tar.bz2 tar -xvf rasp-php-linux.tar.bz2 cd rasp-\*/ install.php 进行安装 . /install.php 默认安装路径为 /opt/rasp,可替换为其他路径 php install.php -d /opt/rasp --heartbeat 90 --app-id c0c523ce311cef92c6f3e9eee306777c99010ce7
1.6K30发布于 2021-03-22 - 来自专栏RASP社区
RASP解决Java安全问题探讨
通过 RASP 技术,可以为包含漏洞的应用程序提供临时保护,为漏洞修复争取宝贵时间。 Java 应用程序实现 RASP 的主流方式是利用 JVM 虚拟机提供的标准接口 Instrumentation。 基于这种细粒度的控制可以延伸到运行时的各个方面,使得 RASP 能够阻止异常的操作,即使代码逻辑中本身没有进行足够的安全校验。 03虚拟补丁 RASP 的虚拟补丁是对代码函数级别进行的安全补丁热更新。 被“打补丁”的应用程序不需要修改代码或者重新编译,可以直接在运行状态实时下发,从而减少了因业务重启而带来的商业风险。 安全管理员可以在不重新启动或中断应用程序服务的情况下,对正在运行的应用程序添加新规则,从而使他们能够在发现新漏洞后立即阻止它,无需等待供应商提供的补丁。 另一个缺憾则是 RASP 在不同语言下的解决方案并不相同,本文主要介绍的是 RASP 在 Java 中的应用,当其出现在 PHP 或其他不同语言的开发框架下,则需要形成一套独立的 RASP 产品。
1.4K30编辑于 2023-04-17 - 来自专栏腾讯安全
腾讯安全正式发布RASP+方案——泰石引擎
泰石引擎是腾讯安全为应对频发的0Day、nDay漏洞而开发的一套基于虚拟补丁的漏洞防御系统。该系统融合了腾讯前沿的漏洞挖掘技术、实时高危漏洞预警技术,捕捉、分析0Day漏洞。 可以自动检测 Java 等应用服务进程、自动注入RASP 插件,通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御,为企业带来无需重启、无感防护的升级体验。 不精准:高误报、漏报通用补丁方案无法针对特定漏洞的特征做精准捕捉,误报、漏报率高;流量层的虚拟补丁由于输入流量到业务具体漏洞函数时,路径比较长,经过各种变形、encoding,特征提取更难,存在一定的误报 RASP+方案,加在哪?相较于传统方案,腾讯安全RASP+方案泰石引擎具备以下优势:01: 0day原生免疫借助云上优势,自动化高效响应高危漏洞,做到一键防御,快人一步,有效避免给黑客可趁之机。 相比主流RASP方案需要手动安装、配置,RASP+方案可以一键启停漏洞防御能力,无需企业配置接入应用、修改应用启动参数或重启业务进程,将对企业业务的影响和投入成本降至最低。
2.2K31编辑于 2022-09-23 - 来自专栏腾讯安全应急响应中心
RASP攻防 —— RASP安全应用与局限性浅析
经过多年的实践我们发现RASP也存在一些缺陷和不足,本文以PHP RASP作为研究对象抛砖引玉,在此分享RASP的应用场景和问题。 本文主要分三个部分:RASP架构原理简要介绍、RASP安全应用场景介绍 及 RASP对抗浅析。 一、 RASP架构原理简要介绍 以PHP语言为例,PHP语言自身提供扩展机制,可以基于扩展机制开发RASP系统。 三、RASP 对抗浅析 在上文中,介绍了PHP RASP的安全应用场景和实现原理,写了很多RASP的优点,但俗话讲的好:没有绝对安全的系统,接下来分享一下RASP存在的不足。 先看一下RASP在LINUX系统中的层级: rasp层级.png PHP RASP作为php解释器的扩展,运行在php解释器层面,也就是说在与PHP RASP同级或者在其层级之下的操作,它的监控基本上是失效的
2.4K30发布于 2020-09-21 - 来自专栏腾讯安全
技术干货|新型漏洞威胁攻防思路拆解
常规补丁尝试修复有问题的代码,虚拟补丁尝试拦截有问题的输入。虚拟补丁的防护策略则是根据位置的不同,分为以云防火墙、WAF为代表的网络侧的虚拟补丁,以及主机侧的虚拟补丁。 在这种情况下,主机侧的虚拟补丁作为网络侧虚拟补丁的一个补充,二者结合,可以让云原生漏洞防御体系更加完备。 07 腾讯新思路:RASP+泰石引擎方案RASP+泰石引擎方案将于9月21日正式对外发布,其具备“0day原生免疫”,“创新精准防御技术”,“创新免重启技术、即刻防御、业务不中断”,“1000万核历炼, RASP+泰石引擎方案产品架构以主机安全Agent方式,注入防御插件到业务进程,管理插件生命周期、部署虚拟补丁,实现漏洞防御效果。在防御能力方面,可针对常见攻击行为做拦截,也可针对特定漏洞做精准拦截。 腾讯安全RASP+泰石引擎方案将于明日正式发布,欢迎感兴趣的同学扫码关注最新动态。
97120编辑于 2022-09-23 - 来自专栏安全攻防团队
【注意】Apache ActiveMQ漏洞已出现大量在野攻击
根据业务类型可选择云防火墙虚拟补丁、主机安全/容器安全泰石引擎已经支持防护Apache ActiveMQ远程代码执行漏洞。 业务类型 防护产品 产品功能 公网IP业务 云防火墙 虚拟补丁 web应用 主机安全/容器安全 RASP虚拟补丁 4.2.1、公网IP业务防护:使用腾讯云防火墙(CFW)虚拟补丁 适用于绑定公网IP对外提供 http服务的业务类型,通过虚拟补丁功能,一键开启针对漏洞利用的检测与自动拦截,无需重启服务。 4.2.2、主机/容器防护:使用腾讯T-Sec主机安全(云镜)腾讯容器安全服务(TCSS)泰石引擎RASP+方案对主机/容器进行防御 泰石引擎RASP+方案支持精准防御,可自动注入RASP 插件, 通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御。
2.7K31编辑于 2023-11-09 WAF和RASP技术,RASP与WAF的“相爱相杀”
WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。 响应内容过规则:这一部分也叫做软补丁功能。为什么呢?如果webserver的应用服务抛异常了,并把异常信息显示在页面,这是一种常见的信息泄露。 如果需要研发团队来修改和测试,运维团队对该服务进行打补丁上线,整个过程可能持续几周,存在很大的风险窗口。如果在WAF上,对这些信息进行伪装或屏蔽,就可以极大降低安全风险。 例如对于应用在交付前来不及修补的漏洞,可以通过函数级别的虚拟补丁提供防护,保证应用按时交付。 极低的维护成本:除了根据需要配置虚拟补丁外,由于RASP从底层函数进行保护,所以基本上不需要对RASP的规则做任何调整即可实现应用的安全内建。
2K00编辑于 2024-04-09- 来自专栏giantbranch's blog
应用实时防护(RASP)
RASP 技术通常被集成到应用程序代码中或应用程序服务器中,以实现实时的安全保护。 以下是 RASP 技术的一般原理: 应用程序内嵌:RASP 技术通常以库或模块的形式嵌入到应用程序中,可以在应用程序的运行时启用和运行。这允许 RASP 技术深入了解应用程序的内部结构和行为。 实时监视:RASP 技术实时监视应用程序的执行。它跟踪应用程序的输入、输出、内部函数调用和数据流动等活动。 上下文感知:RASP 技术了解应用程序的上下文,包括用户、数据、环境和网络连接等。 自我保护:RASP 技术还可以自我保护,意味着它会尽力保护自身免受恶意攻击或尝试绕过它的行为。 安全策略配置:RASP 技术通常允许管理员配置安全策略,以适应不同的应用程序需求和威胁模式。 或者 rasp-java.zip 并解压缩。
1.1K10编辑于 2024-12-31 - 来自专栏RASP社区
攻防演练|RASP让WebShell攻击破防了
沙箱 & 蜜罐 通过攻守双方信息不对等的优势,预先埋好虚拟环境,让攻击者误以为进入了正常的业务系统,在发现攻击者上传 WebShell 或执行敏感操作时触发报警。 Spring 敏感注解 常见敏感类、包 Step 2 - 热门漏洞虚拟补丁和 SCA 分析 针对近几年常见的漏洞,提供虚拟补丁进行防护,相比云鲨缺省规则更精准、更高效: 提供运行时软件组成成分分析,能够快速梳理出业务系统正在使用的风险组件 ,并快速下发虚拟补丁,提供临时防护。 云鲨 RASP 通过对底层命令执行方法、I/O 等进插桩,只要触发了敏感行为探测逻辑,云鲨 RASP 均能在第一时间进行拦截并上报。 官网:https://rasp.xmirror.cn/
1.4K30编辑于 2023-04-17 - 来自专栏安全播报
Apache Solr代码执行漏洞自助处置手册
3、漏洞防御推荐配置根据业务类型可选择云防火墙虚拟补丁、Web应用防火墙基础安全进行防护,同时借助主机安全和容器安全泰石引擎RASP+解决方案对主机/容器进行防护:业务类型防护产品产品功能公网IP业务云防火墙虚拟补丁域名业务 Web应用防火墙基础安全(1)公网IP业务防护:使用腾讯腾讯T-Sec云防火墙(CFW)虚拟补丁适用于绑定公网IP对外提供服务的业务类型,通过虚拟补丁功能,一键开启针对漏洞利用的检测与自动拦截,无需重启服务 开启拦截模式即可拦截漏洞利用攻击流量;图片(2)域名业务防护:使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击适用于通过域名对外提供服务的业务类型,通过WAF可实现针对HTTP/HTTPS流量的漏洞防护与虚拟补丁 (3)主机/容器防护:使用腾讯T-Sec主机安全(云镜)腾讯容器安全服务(TCSS)泰石引擎RASP+方案对主机/容器进行防御泰石引擎RASP+方案支持java反序列化通用防御,可自动注入RASP 插件 ,通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御。
2.3K40编辑于 2023-04-25 - 来自专栏RASP社区
RASP技术进阶系列(一):与WAF的“相爱相杀”
目前很多WAF产品都提供了“虚拟补丁”功能,可以用来修复应用程序的缺陷,而不需要修改源代码。 RASP真能取代WAF吗?就像WAF是防火墙的演进版本一样,大家喜欢把RASP称为下一代WAF。 例如对于应用在交付前来不及修补的漏洞,可以通过函数级别的虚拟补丁提供防护,保证应用按时交付。 (3)极低的维护成本:除了根据需要配置虚拟补丁外,由于RASP从底层函数进行保护,所以基本上不需要对RASP的规则做任何调整即可实现应用的安全内建。 总结RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。
1.1K30编辑于 2023-04-19 与WAF的“相爱相杀”的RASP
目前很多WAF产品都提供了“虚拟补丁”功能,可以用来修复应用程序的缺陷,而不需要修改源代码。 RASP真能取代WAF吗?就像WAF是防火墙的演进版本一样,大家喜欢把RASP称为下一代WAF。 例如对于应用在交付前来不及修补的漏洞,可以通过函数级别的虚拟补丁提供防护,保证应用按时交付。 极低的维护成本:除了根据需要配置虚拟补丁外,由于RASP从底层函数进行保护,所以基本上不需要对RASP的规则做任何调整即可实现应用的安全内建。 核心架构总结RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。
60800编辑于 2024-05-24- 来自专栏腾讯云安全的专栏
面对层出不穷的绕过手段,RASP如何构建有效运行时防御?
01背景在当今数字化时代,企业面临着日益严峻的网络安全挑战,尤其是高危紧急漏洞的出现,常常让企业常陷入三重困境:官方补丁滞后、影响范围难以及时评估、修复过程恐影响业务连续性。 这些传统漏洞防护的痛点,正是RASP技术发挥独特作用的典型场景。本文将从产品视角出发,分享腾讯云主机安全RASP(以下简称:RASP)的建设思路。 对于这类漏洞,我们对照官方提供的修复补丁,定位到漏洞的具体类和方法,有针对性地开发热补丁,在不重启业务的情况下,完成对漏洞的修复。 整个利用过程虽然会起进程,但是是在JNI代码中起的,脱离了Java虚拟机,使得rasp无法监控进程的启动。 对于这样的漏洞,我们根据官方官方发布的补丁,在漏洞触发的类和方法处做了热补丁,实现了和官方补丁同样的效果,有效地防御了这个漏洞。
42010编辑于 2026-02-28 腾讯专有云企业版:容器安全服务(TCSS)产品架构与能力概要
此外,产品首创免重启(即开即用)的 RASP+泰石虚拟补丁防御技术,能在极低资源消耗下实现针对 0Day/nDay 漏洞的免疫级防护,解决传统安全产品(如防火墙、传统漏扫、EDR)无法监测东西向微服务流量 高级防御(漏洞防御):基于 RASP+泰石漏洞引擎提供针对 0Day/nDay 的虚拟补丁,有效拦截黑客攻击。 安全基线与集群安全:针对容器、镜像、主机、K8s 进行配置合规检查。 防御性能:RASP+泰石漏洞引擎精准防御率与稳定性均达到 99.999%;轻量框架相比主流方案性能提升 60倍。 首创免重启防御机制:业内首创 RASP 虚拟补丁免重启技术,即开即用,实现 0Day 原生免疫。 海量样本库支撑:依托腾讯云全网百亿级样本,实现高检出、低误报。 解决方案:客户启用了 TCSS 的“新版漏洞管理”与“一键自动防御”功能,利用 RASP+泰石漏洞引擎的虚拟补丁能力。
2900编辑于 2026-05-30应对监管常态化核查:构建云上“两高一弱”分钟级发现与自动化闭环体系
采用“黑盒(暴露面管理、渗透测试)+ 白盒(主机Agent、日志检测、漏洞情报、镜像扫描、代码审计、RASP)”双向匹配技术,精准定位风险。 对高危暴露端口执行一键封堵;对业务漏洞提供应用RASP补丁及网络虚拟补丁;结合堡垒机与远程运维实现配置自动化修复。 修复闭环指标: 针对关键漏洞,提供一键应用补丁(RASP/虚拟补丁)、一键封禁高危端口、一键修复弱口令功能,消除协作摩擦。
2800编辑于 2026-05-30- 来自专栏huofo's blog
Java安全之JNI绕过RASP
Java安全之JNI绕过RASP 0x00 前言 前面一直想看该JNI的相关内容,但是发现JNI的资料还是偏少。后面发现JNI在安全中应用非常的微妙,有意思。 0x03 JNI 绕过RASP 执行命令 在RASP里其实是Hook掉了一些Runtime、ProcessBuilder 等类,但是Runtime.exec调用的是ProcessBuilder.start 假设一个场景一个站点使用RASP,这时候如果上传一个webshell 那么这时候就会去用到JNI去调用该dll文件就可以进行一个绕过,可以先来实现这么一个功能,后续还需要考虑到的是怎么将几个文件封装到一起 (ipconfig); } } image.png 调用栈: image.png 命令就执行成功了,这里不是调用一些自带的Runtime等方法,而是调用dll文件中封装的方法,能够去绕过一些RASP
1.6K10编辑于 2022-03-18 腾讯专有云企业版容器安全服务(TCSS)技术概要
高级防御:集成RASP漏洞防御引擎。 2. 硬核指标 性能指标:Agent平均CPU占用<1%,内存占用30MB(来源:腾讯云公有云数据)。 漏洞防御创新:采用RASP+泰石引擎,实现0Day漏洞虚拟补丁防护,拦截事件关联CVE编号。 解决方案:启用TCSSRASP虚拟补丁功能,自动拦截JNDI注入攻击。 成效:实现免重启防护,攻击拦截率99.999%(来源:腾讯安全攻防测试)。
2300编辑于 2026-05-30- 来自专栏安全乐观主义
JNI技术绕过rasp防护实现jsp webshell
想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。 java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp 实战使用 经测试:jdk1.7+tomcat8.5+windows环境 jdk10+tomcat+Mac rasp安全防护全开。 rasp安全防护全开。 ? ? ? e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %> 毫不意外的被rasp 使用jni突破rasp的jsp来执行shell,成功绕过。 成功绕过。 ? 使用d盾查杀 ? virustotal: ? 其他 如果您有其他的思路和建议,欢迎同我交流:)
1.9K20发布于 2019-11-20 - 来自专栏bisal的个人杂货铺
Oracle Patch补丁体系和如何打补丁
Oracle作为大型商用关系型数据库,从其补丁体系就可以看出其考虑的全面性。 One-off patches (e.g. a bug fix) One-off patches也称之为一次性补丁,通常针对特定的版本数据库或运行平台。此类补丁通常较小,使用的最为频繁。 (往往针对安全性问题),对于以前的安全性修复程序而言,这些CPU是累积的,只需要安装最近最后一个就可以,它就包含了之前的所有CPU补丁,但也可包含其他修复程序,目的是解决与非安全性补丁之间的补丁冲突问题 一个PSU可视作一个个别补丁,安装和删除操作同样简便。 总结: 1.要了解Oracle Patch补丁体系中,各种类型补丁的关系、适用范围,这样才能在需要打补丁的时候选择正确的补丁并完成安装步骤了。
5.3K10发布于 2019-01-29 - 来自专栏逆向与安全
web安全防御之RASP技术
0x01:什么是RASP? RASP能做什么? 1.在2012年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP。 3.RASP能做什么? ? 图1 如图1所示,RASP可以防御OWASP漏洞与第三方框架漏洞及应用性能监控等。 0x02:RASP防御实现与攻防测试(JAVA) 1.Java版的RASP技术使用javaagent机制来实现。 把hook好的字节码返回给transformer从而载入虚拟机。 0x04:总结 1.目前RASP还处于发展中阶段,没有像WAF等常见的安全产品一样有非常明确的功能边界(scope),此文仅为技术学习,更多RASP防御技术与新用法还可以发挥想象,比如日志监控、管理会话
6.2K31发布于 2019-05-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号