OpenRASP安装使用教程

一、说明

1.1 RASP和WAF的区别

WAF，Web Application Firewall，应用防火墙。其原理是拦截原始http数据包，然后使用规则对数据包进行匹配扫描，如果没有规则匹配上那就放行数据包。正如一个门卫，如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行，至于进去的人在里面干什么他就不知道了。

RASP，Runtime application self-protection，运行时应用自我保护。Gartner公司2014年新提出的一个概念。其不是拦截数据包而是拦截将要执行的代码，对代码进行规则匹配如果没匹配上就放行代码。就好像在客厅、厨房、卧窒等每个地方都派一个管家监视，每个进到家里的要去什么地方做什么动作都在监视之下，一但发现某人要做出某些危险举动就会被阻止。拦截代码就类似hook，java通过重写ClassLoader等方法实现代码拦截。

我们经常听说免杀、绕WAF，其主要原理就是通过各种函数进行编码实现换脸来绕过WAF的匹配规则；而RASP审查的是最终要执行的代码，此时为了能够执行各种被编码的payload都将被还原成原始的payload，显然此时查杀漏报率和误报率都会更低。但同时也显然RASP比WAF做了更多的事情，这意味着RASP会比传统WAF要消耗更多的系统资源。

就Web Application Firewall这个词的字面意思而言RASP也属于WAF，可以认为RASP是深入到中间件内部的新型WAF。

1.2 OpenRASP

OpenRASP是百度在2017年针对RASP概念推出的一款开源免费的自适应安全产品。

安装配置等官方文档（https://rasp.baidu.com/doc/）都已有详细说明，这篇博客只是为了自己备忘，实现在Tomcat上安装OpenRASP。

参考：

https://paper.seebug.org/330/

https://baijiahao.baidu.com/s?id=1596150015211244982&wfr=spider&for=pc

https://github.com/baidu/openrasp

二、安装

2.1 设置主机名解析

避免后边tomcat部署应用时出现主机名无法解析错误（Caused by: java.net.UnknownHostException: ls: Temporary failure in name resolution）

cat >> /etc/hosts << EOF
127.0.0.1 `hostname`
EOF

2.2 安装jdk配置环境变量

这个就不多说了。

jdk下载地址：https://www.oracle.com/technetwork/java/javase/downloads/index.html

2.3 安装tomcat

下载解压就行，这个也不多说了。我这里以centos 6.10+tomcat8.5为例，具体安装路径/usr/myapp/apache-tomcat-8.5.35

tomcat下载地址：http://tomcat.apache.org/

2.4 安装openrasp

我这里为了简便直接使用jar包进行自动化安装

jar包下载地址：https://github.com/baidu/openrasp/releases

# 下载tar.gz包，链接修改成自己安装时的最新版本
wget https://github.com/baidu/openrasp/releases/download/v0.50/rasp-java.tar.gz
# 解压
tar -zxf rasp-java.tar.gz
# 进入到目录，修改成自己解压出的
cd rasp-2018-10-29/
# 自动化安装，后边的tomcat安装路径修改成自己tomcat安装在的位置
java -jar RaspInstall.jar -install /usr/myapp/apache-tomcat-8.5.35