1 of 67

OpenRASP Documents (Old)

简介

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性的使用RASP技术（应用运行时自我保护），直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞，尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

另外，OpenRASP 提供的IAST解决方案，相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理，扫描更全面；结合应用探针准确的识别漏洞类型，通过针对性扫描大幅度提升检测效率；商业版新增的动态污点追踪能力，还可以在不扫描的情况下，预判接口是否存在漏洞。

OpenRASP 是经过开源社区大规模验证过的产品，目前客户数量已经过百，QQ群人数超过1800人。如果你在使用过程中遇到任何问题，请加入我们的技术讨论QQ群，联系我们处理。

常用链接

安装部署

检测能力

安装管理后台

快速开始

在开始之前，请先根据里的说明，下载 rasp-cloud.tar.gz，并解压缩到本地。

开发插件

本节介绍如何开发并发布一个 JavaScript 检测插件。

开发环境准备

下载并安装 NodeJS，Ubuntu 系统可使用 sudo apt-get install -y nodejs 命令进行安装
安装插件开发工具 openraspjs:

编写第一个插件

检测插件针对应用的行为进行检测，当应用执行数据库查询、文件读写等操作，OpenRASP 引擎就会调用检测插件，并将相关参数一并传递过来。一个最小的SQL检测插件如下所示:

首先，我们调用 plugin.register 注册了SQL查询的检测函数，并将SQL语句打印到插件日志。其中，

params 为检查点提供的参数，如SQL语句、要读取的文件等等
context 为请求信息，如请求参数，服务器信息等等

然后，我们在回调函数里，调用 plugin.log 打印了SQL查询语句

最后，我们在回调函数里，返回检测结果，即 "放行"

目前我们支持14个检测点，具体请看文档。

调用插件接口

我们在 RASP 类里提供了一些接口，可以直接在插件里调用。比如，你可以调用 RASP.sql_tokenize 将SQL语句转化为 token:

详细 JS API 说明请看文档。

测试检测插件

现在，我们已经完成了检测插件，下一步是进行测试。测试有两种方法:

参考，编写JSON测试用例并使用 openraspjs 进行测试
参考，将插件放到安装了 OpenRASP 的应用服务器进行测试

若你是初次接触插件开发，我们推荐使用第二种方式，即使用 OpenRASP 单机版调试。具体调试方法请参考上述文档，这里不再赘述。

拦截危险操作

现在，我们已经能够编写检测插件，并在客户端运行。接下来就是拦截攻击了，在回调函数里，将返回的 action 字段改为 block 即可拦截请求。比如，当SQL语句包含union注入特征，我们想拦截整个请求的话，可以这样写:

在官方插件里，实际的检测算法要复杂的很多，有兴趣可以参考的实现。如果不想拦截攻击，只是想记录攻击日志，可将 action 字段设置为 log。

最后， confidence 字段用来标记报警的可信度，官方插件的范围是 90~100，越高报警的可靠性越高。

注意: 当某个插件拦截了攻击，其他插件将不在被调用。

FAQ

1. 插件支持 ES6 语法吗？{#faq-1}

插件环境可能不支持某些最新的 JavaScript 语法，请使用 openrasjs 进行语法检查
插件不能使用与平台相关的全局对象，只能使用
插件可以像编写 Node.js 程序一样引入其他模块，然后通过 webpack 或 browserify 等工具打包成一个文件，但是注意不能引入与平台相关的模块，例如: Node.js 的 http 模块

2. 如果检测点没有返回对象，或者返回的对象不合法，会怎么样？{#faq-2}

若检查点没有返回对象，等于 ignore
若检查点返回了对象，但 action 值不存在或者不为 block/log/ignore 之一，等价于 log

RASP 类接口

所有插件需要实例化一个 RASP 对象，并在此对象上注册各检测点对应的检测程序

创建实例

创建 RASP 实例需传入插件名，e.g demo

获取agent版本号 (v1.2.0 加入)

获取JS引擎名称

发送HTTP请求 (v1.2.0 加入)

支持发送 GET/POST 请求，其中 data 字段可以是字符串、对象或者 Buffer

注册检测程序到对应检测点

检测函数接受两个参数

params 对应检测点的参数信息
context 请求上下文信息

具体有哪些检测点可以注册，以及 params 的样例，请参考检

注意: 对于同一个检测点，如果你注册了多个检测函数，这些函数会按照注册顺序，依次调用

将SQL语句解析为 Token（BETA）

函数接受两个参数

query 表示要解析的查询语句
server 表示SQL服务器类型

目前本功能还在试验阶段，且暂时不区分SQL服务器类型。

将 Bash/CMD 语句解析为 Token（BETA）

函数接受一个参数

command 表示要解析的命令

目前本功能还在试验阶段，且暂时不区分操作系统

打印调试日志

使用方法与 console.log 一致，只是会同时输出插件的名字，方便你区分不同插件的日志

获取插件名

手动调用检测方法

在编写单元测试时，可手动调用此方法

这个方法会按照注册顺序，依次调用所有的检测函数，并返回一个检测结果数组

e.g 模拟一个SQL注入请求，请调用插件获取检测结果

Context 类接口

Context 类包含当前请求信息和服务器信息

获取请求路径

绝对路径，不包含 Query String

获取 Query String

返回URL参数

获取请求方法

字母为小写

获取请求协议

获取请求头

获取当前请求的 headers，其中key的名字均为小写。这个值可能为空，使用前需要判断，e.g if (context.header != null)

获取请求体

仅返回请求体原始数据的前4KB，类型为

因受到服务器限制，插件系统不保证一定能够获取到请求体原始数据。在Java应用下面，只有应用读取了body，插件才能获取到。因此在 request hook 点是拿不到 body 的。

获取请求 JSON

获取当前请求的 POST JSON 参数

获取请求参数

对于 java 服务器，当用户已经获取过请求参数的情况下, 我们会返回 ServletRequest.getParameterMap() 的结果，也就是 Map<String, String[]>

当用户还没有获取过任何参数, 我们会返回空对象, 这样做既可以保证用户在获取参数的时候不会产生乱码, 同时在插件中做用户参数匹配检测过程中也可以降低误报率。若要在 request hook 点获取到用户输入，请参考文档，设置 request.param_encoding 参数。

获取请求来源地址

这个参数只是应用服务器看到的请求来源IP。如果是反向代理部署方式，你可能需要获取 X-Forwarded-For、X-Client-IP 等HTTP响应头数据

获取服务器信息

当前服务器的属性，包括服务器类型、开发语言等等

若要判定是否为 Windows 系统，可使用 context.server.os.indexOf('Windows') == 0

获取Web根目录

对于java服务器，返回 webapps 目录；对于php服务器，返回 webroot

自定义实例

在编写单元测试时，若要同时模拟请求信息，可以通过自定义 Context 实例的方式来实现，e.g

当然，除了请求方法以外，你可还可以自定义其他参数，

如果没有定义某个方法，这个方法将返回 undefined

参数说明

若要实现检测逻辑，插件需要先注册检测方法，e.g SQL注入检测插件可注册 sql 类型的回调

具体插件可注册的回调类型 type，以及回调参数 params 的样例如下。另外，所有检测点都可以使用 params.stack 参数，以获取当前堆栈信息。

数据库查询

读取目录

请求参数

当应用接受到请求时，插件可以对请求进行拦截。（注意: PHP Agent 1.1 开始才支持）

这里不会传递任何参数，如果需要获取请求相关信息，请使用

读取文件

注意:

对于 PHP 服务器，若实际读取文件以 https://、http://、ftp:// 之一开头，将会调用 服务器端 HTTP 请求 检测点，不会触发 读取文件 检测点

写入文件

出于性能考虑，OpenRASP 目前只会提供文件名和绝对路径两个参数

注意:

tomcat 等应用服务器，在部署war包时，暂时不会触发这个回调
对于NTFS数据流，e.g abc.php::$DATA，插件看到的 path 可能是 abc.php::$DATA，realpath 可能是 c:\inetpub\wwwroot\abc.php

删除文件

文件包含操作

url 可能是协议（file、http等等），也能是相对路径（/abc/、abc.txt）

支持的文件包含方式如下，

Java - JSTL import 方式
- 只有 url 里出现了 :// 且不为 / 开头时，我们才会调用插件
PHP - include/require/include_once/require_once 四种方式

具体参数

WebDAV 操作

目前仅支持 MOVE、COPY 两种方法

文件上传

目前，OpenRASP 支持 org.apache.commons.fileupload 上传组件（SpringMVC、Struts 底层使用）

出于性能考虑，OpenRASP 只会提取文件前 4 KB 的内容，若要获取更多字节，请参考

文件重命名

当源是文件，且目标不为文件夹（可以不存在）时才会进入插件

命令执行

XML 外部实体引用

目前，PHP不支持XXE检测

Struts OGNL 表达式解析

注意: 为了减少性能影响，仅当表达式长度超过 30 时才会调用插件。可手动 ognl.expression.minlength 选项来进行调整

RMI 反序列化

服务器端 HTTP 请求

支持的请求方式包含如下 (对应 function 字段)，

JDK 中的 URL.openConnection 的方式 (url_open_connection)
commons-httpclient 框架请求方式 (commons_http_client)
httpclient 框架请求方式 (http_client)

服务器端 HTTP 请求 - 重定向之后

支持的请求方式包含如下 (对应 function 字段)，

JDK 中的 URL.openConnection 的方式 (url_open_connection)
httpclient 框架请求方式 (http_client)
PHP stream 请求、cURL 请求

代码执行

目前支持 eval/function 两种函数

类库加载

目前仅支持 java System.load() 方式

响应检查

说明

Java 下面如果 body 过大，会多次分段调用
当响应类型包含 image、audio、video 字样，不会进入插件
该检测点不支持拦截

参数

Java 版本

简要说明

java 版本使用 javaagent 机制来实现。在服务器启动时，可动态的修改Java字节码，对敏感操作的函数进行挂钩，比如:

数据库操作
文件读取、写入操作
命令执行
...

当服务器发生攻击，就会触发这些Hook点，此时RASP agent就可以获取到函数的参数，比如要读取的文件名、要执行的命令等等。

启动流程

启动时首先会进入 javaagent 的 premain 函数，该函数会在 main 函数之前预先执行，
当去 hook 像 java.io.File 这样由 BootstrapClassLoader 加载的类的时候，无法从该类调用非 BootstrapClassLoader 加载的类中的接口，所以 agent.jar 会先将自己添加到 BootstrapClassLoader 的ClassPath下，这样 hook 由 BootstrapClassLoader 加载的类的时候就能够成功调用到 agent.jar 中的检测入口

Hook Class 流程

因为启动时候进行了插桩操作，当有类被 ClassLoader 加载时候，所以会把该类的字节码先交给自定义的 Transformer 处理
自定义 Transformer 会判断该类是否为需要 hook 的类，如果是会将该类交给 javassist 字节码处理框架进行处理，
javassist 框架会将类的字节码依照事件驱动模型逐步解析每个方法，当触发了我们需要 hook 的方法，我们会在方法的开头或者结尾插入进入检测函数的字节码

启动时架构如下图所示:

请求处理流程

我们以 tomcat + JDBC + MySQL 为例，简单说明下请求处理的流程

服务器收到一个请求，从而进入了服务器的请求 hook 点（该 hook 点每个服务器不一样，具体参照源码），该 hook 点标注当前线程为请求线程，开启当前线程的检测开关并把请求对象和响应对象进行缓存，以便后面使用
服务器发起SQL查询
进入 SQLStatementHook 点，我们挂钩了 execute、executeUpdate、executeQuery 等方法，从该方法进入检测流程如下：

OpenRASP 中JS引擎执行架构如下图所示：

基线检测

我们以 tomcat 启动为例，说明基线检测流程

进入了基线检测关键函数（tomcat 启动函数）
进入本地基线检测插件（注：基线检测不进入js插件检测），检测当前环境的关键参数（http-only是否开启，是否为root启动等）
根据检测结果决定是否拦截，不拦截的情况下只打印日志到 logs/policy_alarm.log

检测架构如下图所示:

PHP 版本

简要说明

关于PHP扩展开发，可参考 Extending and Embedding PHP。

以 cli SAPI 为例，其单个请求生命周期如下图所示：

OpenRASP 核心原理为：在 MINIT 阶段，替换全局compiler_globals的function_table与class_table中特定 PHP_FUNCTION 对应的函数指针（封装原有handler，增加前置、后置处理），由此实现对敏感函数的挂钩。通过敏感函数参数结合请求信息判断是否存在攻击行为，进而采取拦截或者放行操作。

启动流程

OpenRASP 采用模块化的结构，按照初始化顺序，启动流程如下：

初始化OpenRASP所需全局变量
注册INI配置条目，通过ini配置文件初始化全局配置
日志模块，记录报警、插件、基线等日志，支持FILE/TCP/UDP
V8模块，JS运行环境，负责插件加载与结合运行时上下文的检测能力

下面针对几个主要的模块进行针对性说明：

日志模块{#log-module}

日志模块启动流程如下：

初始化日志模块所需全局变量
申请共享内存（针对特定SAPI），用于部分日志的进/线程间同步
获取本机网卡以及主机信息，用于基线日志记录

V8模块

我们将 V8 嵌入到 OpenRASP 中作为 JavaScript 插件的执行引擎

MINIT 阶段载入所有插件，生成一份 V8 Startup Snapshot
请求处理线程第一次触发检测时，使用 V8 Startup Snapshot 还原此线程独享的 V8 Isolate
每个请求线程在对应的 V8 Isolate 环境上执行检测逻辑

HOOK模块

HOOK流程包含两类：compiler_globals的handler替换和用户自定义opcode_handler，启动流程如下

在全局compiler_globals对应的hashtable(function_table和class_table)中查找非禁用函数对应zend_function
封装原有handler，根据需求增加前置、后置处理
针对指定opcode（如ZEND_INCLUDE_OR_EVAL）通过zend_set_user_opcode_handler自定义处理逻辑

文件监控模块

我们使用经过我们优化增强的 libfswatch 实现了跨平台的文件监控

MINIT 阶段初始化 fswatch 实例，并开启后台线程进行目标文件目录监控
目标文件目录发生变化时，根据类型，向支持重载的 SAPI 主线程发送重载信号
MSHUTDOWN 阶段停止目标文件目录监控，销毁 fswatch 实例和后台线程

白名单实现

经过对比，我们最终选择了 Double Array Trie 算法来匹配白名单，具体实现如下:

白名单存储。白名单放在共享内存里，当云端下发新的配置，通过读写锁更新
白名单匹配。使用 Double Array Trie 算法在白名单里寻找匹配的项目，并生成检测类型的 bitmask。当进入检测点，根据 bitmask 来决定是否直接放行。
内存消耗。每个检测类型最多允许10条白名单，URL长度最大200。最坏情况下，PHP 版本内存 400 KB。

容器支持

为了适配百度内部的ORP平台，我们特意实现了扩展进程管理模型，以避免再安装一个独立的agent。

在扩展初始化阶段，我们会 fork 出三个进程，分别用于异步日志发送、远程管理、进程守护等功能；在 PHP-FPM 或者 apache 退出或者重启时，我们会杀死这些进程。具体请参考我们的代码实现。

请求处理流程

以PHP(mysqli) + MySQL为例，简要说明请求处理的流程，即 RINIT - RSHUTDOWN 阶段：

为新请求计算唯一的request-id，设置response header
初始化不同logger，收集日志相关请求信息
连接数据库，触发 mysqli_connect HOOK点：enforce_policy为1时，若用高权限用户连接数据库，记录基线日志，中断当前请求；enforce_policy为0时，仅当成功连接数据库后检查是否为高权限用户，若是记录日基线志，并将连接信息存入共享内存防止其他进/线程重复报警

管理后台

业务模型

云控后台为了将 RASP Agent 分组，引入 APP 的概念，每个 APP 代表一个业务线，每个 APP 有独立的 Secret 用于提供认证，每个 APP 可以管理多个 RASP Agent 的配置和插件。

技术架构

目前，Agent 管理后台采用的是 Go 语言编写，数据库采用的是 MongoDB + Elasticsearch，通讯采用 HTTP/HTTPS + JSON 定时通讯的方式。整体的架构图如下所示：

如上图所示：

虚线下方为安装了 RASP 的服务器，上方为云控后台，云控后台分为 Agent Server 和 Panel Server，Agent Server 负责和 RASP Agent 通信，Panel Server 负责用户与前端的交互。Agent Server 可以部署多个实例，Panel Server只可以部署一个。
Secrete 认证：RaspAgent和云控后台之间的认证方式采用 appID + secrete私钥的形式进行认证。

Java 版本

获取源码

你可以使用 git 命令，也可以直接在 Github 下载 ZIP 包

准备环境

为了保证最大兼容性，我们建议使用 JDK 6 进行编译

为编译所依赖的JNI模块，需要安装 c++ 编译器和 cmake 生成器

以 CentOS 为例，使用如下命令，安装 g++ 5.3.1

安装完成后，执行如下命令进入编译环境

安装高版本 cmake

编译 openrasp-v8 基础库

以 64位 Linux 系统为例，在OpenRASP仓库根目录执行以下命令

更多平台的编译细节请参考

https://github.com/baidu-security/openrasp-v8/blob/master/.travis.yml
https://github.com/baidu-security/openrasp-v8/tree/master/.travis

开始编译

方案1 - 使用 IDEA Intellij 进行操作
导入 maven 工程，目录选 agent/java，正常编译即可
方案2 - 使用 mvn 命令编译
进入命令行，

常见问题

1. maven 超时

如果总是出现超时错误，你可以考虑使用阿里云的镜像。

[ERROR] Plugin org.apache.maven.plugins:maven-resources-plugin:3.0.2 or one of its dependencies could not be resolved: Failed to read artifact descriptor for org.apache.maven.plugins:maven-resources-plugin:jar:3.0.2: Could not transfer artifact org.apache.maven.plugins:maven-resources-plugin:pom:3.0.2 from/to central (https://repo.maven.apache.org/maven2): Connect to repo.maven.apache.org:443 [repo.maven.apache.org/151.101.196.215] failed: Operation timed out (Connection timed out) -> [Help 1]

修改方法是编辑 ~/.m2/settings.xml，并填写如下内容

2. git-commit-id-plugin 错误

如果你使用 JDK 1.6 编译，可能会遇到如下错误:

[ERROR] Plugin pl.project13.maven:git-commit-id-plugin:2.1.5 or one of its dependencies could not be resolved: Failed to read artifact descriptor for pl.project13.maven:git-commit-id-plugin:jar:2.1.5: Could not transfer artifact pl.project13.maven:git-commit-id-plugin:pom:2.1.5 from/to central (https://repo.maven.apache.org/maven2): Received fatal alert: protocol_version -> [Help 1]

这是一个 https 证书错误，解决方法是替换 maven 仓库地址为 http 版本。可以考虑修改 ~/.m2/settings.xml，并添加如下内容

3. 缺少 Premain-Class 属性

如果你使用IDE编译，最终可能出现这样的错误:

Failed to find Premain-Class manifest attribute in D:\apache-tomcat-7.0.82\rasp\rasp.jar

这是因为IDE没有修改 META-INF 下面的文件。我们建议你使用 maven 编译，或者直接导入 maven 工程

快速接入

OpenRASP 支持私有化部署，包含客户端与服务端两个组件。在接入之前，请先阅读兼容性说明文档，检查客户端是否支持你的应用服务。

第一步: 下载最新版本的安装包

常用镜像

文件说明

文件名

说明

第二步: 安装管理后台（可选）

OpenRASP 支持单机防护，也支持远程管理。若要开启远程管理，请先参考安装管理后台。

第三步: 安装客户端

取决于你的服务器类型，请参考不同的子章节进行安装。比如 Tomcat 可以查看进行操作。

第四步: 安装测试用例（可选）{#step4}

如果你需要测试漏洞检测效果，请参考安装漏洞环境。

第五步: 安装IAST扫描工具（可选）{#step5}

如果你需要安装扫描工具，请参考页面进行安装和配置。

其他常用链接

开发相关

常见问题

1. 常见自动安装失败原因

Java 版本

错误码

说明

关于 java 不重启安装，卸载：由于不支持不重启升级，所以在不重启安装然后不重启卸载之后，想要再次安装需要重启服务器安装。

PHP 版本

错误码

分类说明

2. OpenRASP 无法拦截攻击

Java 服务器

首先，使用浏览器访问网站，检查服务器是否启动成功
- 若服务器没有启动，可检查启动日志，寻找堆栈信息。对于 tomcat 通常是 catalina.out
根据子章节的文档，检查 OpenRASP 是否安装成功

PHP 服务器

首先，使用浏览器访问网站，检查服务器是否启动成功
- 若服务器没有启动，可检查 PHP/Apache/Nginx 错误日志
根据子章节的文章，检查 OpenRASP 扩展是否安装成功

3. jnotify 无法释放

有的公司会定制应用启动脚本，比如 catalina.sh，当以root启动tomcat，他会自动切换到低权限用户，再继续启动

通常，你会看到如下的堆栈错误

这说明 OpenRASP 在释放 jnotify 动态链接库时出错（用来监控插件目录变更），错误原因是 Permission denied

所以，你可能需要调整下RASP目录权限，e.g chmod 777 -R rasp，然后再次启动 tomcat

4. Could not find or load main class com.baidu.rasp.App 错误

QQ群用户反馈，执行 RaspInstall 时报错，

经过排查，这是因为当前目录本身没有读取权限导致的，执行 chmod 777 $PWD 后解决。

5. APM 兼容性说明

如果你同时使用 OpenRASP 和 APM 产品，比如，那你需要增大 -XX:MaxPermSize 参数。否则运行一段时间后可能会出现 java.lang.OutOfMemoryError: PermGen space 错误，产生大量GC，最终导致服务器假死。

如果原先没有配置过此参数，我们建议你设置为 1024m；如果配置过，我们建议在原先基础上增加至少 512m。

另外，为了避免APM回滚钩子，请将我们的 -javaagent 参数放在前面。

6. JDK9 以上安装问题

由于JDK9以上版本的 Modularity System 属性，需要在手动安装后为服务器添加以下 Java 启动参数:

7. 常见 v8 加载失败原因

7.1 java.io.IOException: Permission denied 异常

如果 /tmp 目录没有写权限，Java 会抛出 java.io.IOException: Permission denied 异常，e.g

此时请检查 /tmp 是否有写权限，以及是否有安全防护软件对 /tmp 目录增加了写保护。

7.2 libopenrasp_v8_java.so: failed to map segment from shared object: Permission denied

对于以下两种场景，

机器开启了SELinux，不允许Tomcat加载不符合策略的动态链接库
so释放目录没有执行权限，比如使用了 noexec 参数挂载

Java可能会出现无法加载so的情况，并提示无法创建区段映射:

解决方法是关闭SELinux(如果开启)，并去掉释放目录的noexec挂载(如果有)。如果不是上述两种情况，请加入QQ群联系我们排查。

7.3 java.io.IOException: Couldn't load library openrasp_v8_java

如果你在不支持的系统架构上运行OpenRASP(比如aarch64)，可能会看到 Couldn't find resource 错误:

目前我们仅支持x64/x86_64两类架构，其他架构会逐步支持

7.4 java.lang.UnsatisfiedLinkError 错误

如果释放的 libopenrasp_v8_java.so 无法加载，Java 会抛出如下异常:

目前已知的情况有:

JDK是32位的，没有安装32位的glibc运行库。在CentOS系统下可以安装 glibc.i686 软件包。
JDK是64位的，且在 docker alpine 环境里无法启动。这个因为你没有装 libcurl libstdc++ 两个软件包。

如果是其他情况，请加入联系我们。

8. libzip.so 崩溃问题

Java 在运行时可能会产生这个错误:

OpenRASP会定期读取jar包里的pom信息，获取应用所使用的类库和版本。这个是JDK自身的BUG，与OpenRASP无关。你可以通过如下几种方式解决问题:

方案1: 升级JDK版本

根据用户反馈，JDK 1.8 Update 261 没有这个问题。

方案2: 关掉jar包的内存映射

这可能因为Java在读取jar包时，对应的文件已经被修改，导致JVM崩溃，具体可以参考。

通过增加如下JVM启动参数可以解决问题，但可能带来额外的性能损耗:

方案3: 关闭依赖库采集功能

参考文档，将 dependency_check.enable 设置为 false 即可。另外，也可以在执行RaspInstall安装的时候增加 -nodep 参数，程序会自动将 dependency_check.enable 改为 false。

方案4: 避免多个Java进程使用相同的业务jar包

有用户反馈，他们的业务存在多个容器共用jar的问题，将jar打包到容器内部就没有这个错误了。

JBoss 服务器

自动化安装

解压缩后，首先进入到解压后的目录中，e.g rasp-20170721

如果你要开启远程管理，请先参考管理后台 - 添加主机文档，找到 app_id/app_secret/backend_url 三个关键参数，然后执行如下命令，

如果你只是运行单机版，只需要指定 -install 参数，

安装成功后，需要重启 JBoss 服务器生效。

不重启安装

以上方式安装成功之后需要重启服务器，如果在服务器启动的情况下，不重启安装 OpenRASP，需要在以上命令后面增加 -pid 参数指定运行的服务器进程 id，JDK6 - JDK8 样例命令如下，

** 由于无法在运行时增加 JbossEAP 对 OpenRASP 的运行时依赖，所以无法支持 JbossEAP 的不重启安装 **

** jdk9 ～ jdk11 不支持不重启安装 **

手动安装 - Linux

1. 安装软件

进入到 jboss 安装目录(绝对路径包含空格将导致启动失败)，e.g /opt/jboss

复制安装包内的 rasp 目录到当前目录，

OpenRASP 需要在 rasp 目录下释放一些动态链接库，所以还需要修改 rasp 目录的权限，e.g

2. 配置 JBoss

如果是 JBoss 4-6 (非 EAP 版本)，

打开bin/run.sh, 找到任意以 JAVA_OPTS= 为起始的行，e.g

在下面增加 JAVA_OPTS="-javaagent:${JBOSS_HOME}/rasp/rasp.jar ${JAVA_OPTS}"，最终效果如下:

如果是 JBoss EAP，

standalone模式

打开bin/standalone.sh，找到# Display our environment处，在下面添加：

domain模式

server-group方式配置rasp

如果按照server-group配置rasp，那么此group下面所有的服务器都会安装rasp，打开domain/configuration/domain.xml文件，找到<server-groups>标签，在需要安装rasp的server-group中找到<jvm>标签添加如下配置：

server方式配置rasp

如果只对某个server-group的特定的server安装rasp，打开domain/configuration/host.xml文件，找到<servers>标签，在需要安装rasp的server中添加如下配置：

3. 开启远程管理

配置方法同，不再赘述。

4. 验证安装是否成功

重启 JBoss 服务器，观察启动日志中是否出现 OpenRASP Engine Initialized字段，出现则说明安装成功

手动安装 - Windows

1. 安装软件

进入到 jboss 安装目录，e.g D:\\jboss

复制安装包内的 rasp 目录到当前目录

2. 配置 JBoss

如果使用Jboss 4～6 (非 EAP 版本)，则打开 bin\run.bat;

打开脚本后，找到任意以 set JAVA_OPTS 为起始的行，如：

在下面增加 set JAVA_OPTS=-javaagent:%JBOSS_HOME%\rasp\rasp.jar %JAVA_OPTS%：

如果使用Jboss EAP,

standalone模式

打开 bin\standalone.bat 找到第一次出现rem Setup JBoss specific properties处，在下面添加：

domain模式

方法同 Linux 版本

3. 开启远程管理

配置方法同，不再赘述。

4. 验证安装是否成功

重启 JBoss 服务器，观察启动日志(默认输出到终端)中是否出现 OpenRASP Engine Initialized字段，出现则说明安装成功；或者访问一下服务器，检查是否存在 X-Protected-By: OpenRASP 响应头，存在即表示安装成功。

已知问题

1. java.io.ObjectInputStream 错误

这个并不是 OpenRASP 的问题，请尝试更新JDK到最新版本

参考资料

2. JDK 9 以上版本兼容性问题

请参考手动修改启动参数。我们会尽快修改 RaspInstall 程序，并自动添加这个配置。

3. org.jboss.logmanager.PropertyConfigurator cannot be cast to org.jboss.as.logging.logmanager.ConfigurationPersistence 异常

在JBoss EAP 6.1.0上安装OpenRASP后，JBoss可能会无法启动并打印如下错误:

，有两种解决方法:

升级到 JBoss EAP 6.1.1
手动修正 JBOSS_MODULES_SYSTEM_PKGS 配置，暴露相关的Jar给javaagent

Wildfly 服务器

自动化安装

解压缩后，首先进入到解压后的目录中，e.g rasp-20181221

如果你要开启远程管理，请先参考管理后台 - 添加主机文档，找到 app_id/app_secret/backend_url 三个关键参数，然后执行如下命令，

如果你只是运行单机版，只需要指定 -install 参数，

这里的 <wildfly_root> 是 wildfly 的根目录。没有错误表示安装成功，其他配置请参考文档。安装后，需要重启 Wildfly 服务器生效。

** 由于无法在运行时增加 Wildfly 对 OpenRASP 的运行时依赖，所以无法支持 Wildfly 的不重启安装 **

手动安装 - Linux

1. 安装软件

进入到 wildfly 安装目录(绝对路径包含空格将导致启动失败)，e.g /opt/wildfly-9.0.1.Final，将 rasp 目录复制过来

OpenRASP 需要在 rasp 目录下释放一些动态链接库，所以还需要修改 rasp 目录的权限，e.g

2. 修改 Wildfly 启动脚本

如果是standalone模式

打开 bin/standalone.sh, 找到如下内容：

在其下面增加如下内容:

如果是domain模式

server-group

server

如果只对某个server-group的特定的server安装rasp，打开domain/configuration/host.xml文件，找到<servers>标签，在需要安装rasp的server中添加如下配置：

3. 开启远程管理

如果你不需要远程管理功能，请跳过这个步骤。

首先在管理后台找到 app_id、app_secret 两个关键参数，然后打开 <wildfly_home>/rasp/conf/openrasp.yml，添加或者修改如下内容:

4. 验证安装是否成功

重启 wildfly 服务器，然后检查 rasp/logs/rasp/rasp.log 中是否出现 OpenRASP Engine Initialized 字样，e.g

或者检查响应的 Header 是否包含 X-Protected-By 字样，e.g

出现则表示安装成功

手动安装 - Windows

1. 安装软件

进入到 wildfly 安装目录，e.g D:\wildfly-9.0.1.Final，将 rasp 目录复制过来

2. 修改 wildfly 配置

如果是standalone模式

打开 bin\standalone.bat, 找到 rem Setup JBoss specific properties 处：

在其下增加如下内容:

如果是domain模式

方法同 Linux 版本

3. 开启远程管理

方法同 Linux 版本，在 openrasp.yml 里增加相关配置即可。

4. 验证安装是否成功

重启 wildfly 服务器，然后检查日志文件，一般是 rasp/logs/rasp/rasp.log，如果出现 OpenRASP Engine Initialized 字样，出现则说明安装成功；或者访问一下服务器，检查是否存在 X-Protected-By: OpenRASP 响应头，存在即表示安装成功。

PHP 服务器

OpenRASP 依赖于如下几个扩展。如果你在使用发行版自带的 PHP 环境，可以使用 yum、apt-get 等工具安装下这些扩展；如果是自己编译的 PHP 环境，则需要在编译阶段开启这些功能。

pdo
pcre
json

对于服务器环境和操作系统的支持情况，可查看，目前 5.3 - 7.3 都是支持的。

自动化安装

下载 rasp-php-linux.tar.bz2 或者 rasp-php-linux-ts.tar.bz2（线程安全版本） 并解压缩。之后进入到解压后的目录中，e.g rasp-php-20180320

如果你要开启远程管理，请先参考文档，找到 app_id/app_secret/backend_url 三个关键参数，然后执行如下命令，

如果你只是运行单机版，只需要指定 -d 参数，

其中 /opt/rasp 为 OpenRASP 安装目录，用于存储检测插件、报警日志等等，可根据实际情况调整。在某些情况下，php cli 和 php-fpm 使用的 ini 不同，自动安装程序可能会失败。

升级 PHP Agent

首先，备份老的扩展，e.g

然后，安装新的扩展，e.g

最后，通过 graceful reload 方式重新加载服务。

针对不同的服务器类型，你需要执行不同的命令，e.g

需要注意的是，请不要直接覆盖 openrasp.so，否则会产生意想不到的内存错误。我们建议使用 重命名方式 来安装新版，以避免出现问题。

手动安装 - Linux

1. 确认基本信息

在 web 目录下面，我们建立一个 info.php，并填写如下内容

在浏览器里打开这个页面，使用搜索功能，

定位到 extension_dir 字样，确认PHP扩展安装目录
- e.g /usr/lib/php/20151012
搜索 Additional .ini files parsed 字样，

2. 安装软件

首先，根据你的 PHP 版本号，复制正确的 openrasp.so 到扩展目录，e.g

然后，确定 OpenRASP 安装目录，在这里我们使用 /opt/rasp

这个目录将会用于存储检测插件、报警日志、插件日志等内容，需要手动创建，并保证 PHP 进程可以写入，e.g

由于报警日志存储在 /opt/rasp/logs，我们建议挑选一个空间较大的分区，以避免将根分区打满

最后，修改 php.ini，或者创建 z-openrasp.ini 文件，添加如下内容:

其中，openrasp.root_dir 表示刚才选择的 OpenRASP 安装目录，不填写则无法加载。对于其他配置参数，可参考文档进行调整。

3. 安装检测插件

点击这里下载官方插件，并放置到 <openrasp.root_dir>/plugins/ 目录，下载后自动加载并生效。

4. 验证安装是否成功

访问刚才创建的 info.php，检查 openrasp 模块是否加载成功即可，e.g

如果你没有看到类似的信息，则说明扩展加载失败。常见原因有

PHP版本和扩展版本不一致，比如 PHP 是 5.3 版本，但你安装了 PHP 5.6 版本的 openrasp.so
INI 配置不正确，请参考 php error.log 里的错误消息
- 所有的错误消息都以 [OpenRASP] 错误码 开头，方便和其他日志进行区分

确认安装成功后，请删除 info.php 这个文件，以避免泄露敏感信息。

手动安装 - MacOS

我们只支持 Homebrew PHP 5.6 版本，安装过程同 Linux 系统，aka

复制 dylib 文件到 PHP 扩展目录
修改 INI 配置文件
重启 php-fpm 生效

另外，MacOS 版本不支持远程管理。

FAQ

1. include/require hook 点未生效

OpenRASP 扩展跟 xdebug 模块存在冲突，若同时开启了 xdebug 模块，请先禁用它

2. 单机版 php-fpm 模式下，插件目录的文件监控功能，有时会失效

在 openrasp 扩展初始化时，我们创建了文件监控线程，用于插件目录的监控。当我们发现插件目录发生变化，就会通过发送 USR2 信号的方式，通知 php-fpm master process 去重新加载子进程，即 gracefully reload。

然而，如果你在启动 php-fpm 的时候，没有使用 -F 参数，则意味着 php-fpm 会主动 fork() 到后台。此时，我们创建的文件监控线程就会失效，也就无法监控插件目录了。

解决方法就是使用 php-fpm -F 这样的方式启动PHP服务器。当然，如果你使用发行版自带的 php-fpm，通常都是这样启动的，无需担心。

3. OpenRASP正常拦截攻击，但是alarm.log没有日志

默认情况下，OpenRASP会被安装到/opt/rasp，以下用<openrasp.root_dir>代替。你需要检查<openrasp.root_dir>/rasp/logs目录是否存在，以及是否有写权限。

常见没有权限的原因有:

使用了root账号安装OpenRASP，而应用使用低权限账号运行(比如nobody)。
1. 可以执行chmod 777 -R <openrasp.root_dir>/logs增加权限
2. 也可以使用chmod修改上述目录的属主(更加安全)

4. CentOS 7.4 apache 使用 systemd 启动会崩溃的问题

systemd 会限制应用栈的大小，导致 openrasp 无法启动。你通过修改 /usr/lib/systemd/system/httpd.service，并提高 LimitStack 的值来解决问题。经过测试，我们发现将栈大小限制改为 16MB 可以解决问题，对应的配置为:

当然，直接使用命令行启动 apache 是没有这个问题的，因为他会继承系统默认的 limit 配置，即 unlimited。

5. php_json_encode 未定义错误

OpenRASP 依赖于多个PHP扩展，json、pdo、pcre 等等。由于 PHP 不会严格按照依赖顺序去加载扩展，所以当 openrasp 先于 json 加载，就会产生这个错误，e.g

解决方法就是让 openrasp 扩展最后加载。常见的做法是调整配置文件的权重，比如将 openrasp 配置文件改为 /etc/php.d/z-openrasp.ini，这样 json 配置文件就会先于 openrasp 配置文件加载，就解决了扩展依赖的问题。

6. 无法检测到 web 目录下的敏感文件？{#faq-webdir-scan}

当PHP服务器处理过至少一次请求后，我们才能够检测到 webroot，之后才会启动敏感目录检测功能。为了保证性能，该检测点具有如下限制:

只会检测根目录，子目录不会处理
最多在内存里缓存 256 个不同的 webroot 路径，超过这个限制时，只保留已有的路径

7. alphine 环境无法启动，提示找不到 ld-linux-x86-64.so.2

根据QQ群用户反馈，增加软连接可以解决问题:

8. 如何判断PHP是否为线程安全版本

执行如下命令，如果返回 bool(true) 则是线程安全(TS)版本

当然也可以编写PHP脚本来测试，如果页面返回 bool(true) 则是线程安全(TS)版本

14:27:19,691 ERROR [org.jboss.as.controller.management-operation] (ServerService Thread Pool -- 11) JBAS014612: Operation ("add") failed - address: ([ ("subsystem" => "logging"), ("console-handler" => "CONSOLE") ]): java.lang.ClassCastException: org.jboss.logmanager.PropertyConfigurator cannot be cast to org.jboss.as.logging.logmanager.ConfigurationPersistence at org.jboss.as.logging.logmanager.ConfigurationPersistence.getOrCreateConfigurationPersistence(ConfigurationPersistence.java:93) at org.jboss.as.logging.logmanager.ConfigurationPersistence.getOrCreateConfigurationPersistence(ConfigurationPersistence.java:81) at org.jboss.as.logging.LoggingOperations$LoggingOperationStepHandler.execute(LoggingOperations.java:154) at org.jboss.as.controller.AbstractOperationContext.executeStep(AbstractOperationContext.java:440) [jboss-as-controller-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at org.jboss.as.controller.AbstractOperationContext.doCompleteStep(AbstractOperationContext.java:322) [jboss-as-controller-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at org.jboss.as.controller.AbstractOperationContext.completeStepInternal(AbstractOperationContext.java:229) [jboss-as-controller-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at org.jboss.as.controller.AbstractOperationContext.executeOperation(AbstractOperationContext.java:224) [jboss-as-controller-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at org.jboss.as.controller.ParallelBootOperationStepHandler$ParallelBootTask.run(ParallelBootOperationStepHandler.java:334) [jboss-as-controller-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) [rt.jar:1.7.0_79] at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) [rt.jar:1.7.0_79] at java.lang.Thread.run(Thread.java:745) [rt.jar:1.7.0_79] at org.jboss.threads.JBossThread.run(JBossThread.java:122) [jboss-threads-2.1.0.Final-redhat-1.jar:2.1.0.Final-redhat-1]

Splunk

本文介绍如何通过 Syslog TCP 方式，将日志采集到 Splunk 平台。

添加日志类型

在开始之前，我们需要先添加 openrasp 日志类型，否则 Splunk 无法组装超过1KB的日志。

方法1 - 手动添加

创建或者编辑，添加如下内容，并重启 Splunk 服务器以生效:

上述配置添加了一个名为 openrasp 的日志类型，格式为 JSON，单行最大长度 320000 字符，足够使用了。

方法2 - 安装插件

首先在这里下载控制台插件，安装此插件会自动创建 openrasp 日志类型:

然后在 Splunk 首页左上角，点击 App -> Manage Apps -> Install app from file，点击浏览文件，选中刚才下载的插件，然后勾选 Upgrade app. Checking this will overwrite the app if it already exists 选项，点击上传:

安装成功后，会在首页看到 RASP 应用，

应用界面如图

配置 Splunk 端口监听

在 Splunk 首页，点击右上角的 Settings -> DATA -> Data Inputs，然后选择 TCP 类型，并点击 NEW 进入配置界面。在这里，我们输入监听端口，即 514。

选择日志类型时，依然是 openrasp。接着点击 Review，然后点击 Submit 保存即可。

当服务器收到日志，就可以在界面上查看了

其他端口也是可以的，但协议只能是 TCP 类型。

配置 OpenRASP

如果是单机版，请根据的说明，配置至少如下两项:

syslog.enable=true
syslog.url=tcp://X.X.X.X:514

修改后应用重启服务器生效。

如果开启了管理后台，定位到 系统设置 -> 报警设置 -> Syslog 报警设置，在界面上配置即可。

开启邮件报警

首先点击右上角 设置 -> 系统 -> 服务器设置 -> 电子邮件设置，输入邮件服务器和账号信息，

设置好上面邮箱信息后，可定期搜索报警，并通过邮件方式通知。

打开 Splunk -> 搜索 -> 设置搜索语句 -> 另存为 -> 告警

已知问题

1. Syslog UDP 方式日志截断问题

如果你使用 Syslog UDP 方式采集日志，那么单条日志长度将被限制为 1KB。由于我们的报警日志通常在 2~3 KB，所以会导致报警日志截断

2. 界面上看不到日志

请按照如下步骤进行排查

OpenRASP 是否产生报警日志？
- 检查 <app_home>/rasp/logs/alarm.log 是否有报警？
OpenRASP 是否将日志发给 Syslog 服务器？

Spring Boot 框架

我们支持 war 包、jar 包两种部署模式。如果是 war 包的形式，直接参考相应服务器文档即可；如果是内嵌服务器的 jar 包形式，请参考本文档安装。对于 WebGoat 项目，对应的 jar 包通常为 webgoat-XXX.jar。

半自动安装

从 v1.2.0 版本开始，我们加入了 SpringBoot 半自动安装支持。之前的版本请参考手动安装章节。

1. 安装软件

SpringBoot 没有提供通用的启动脚本，所以我们的半自动安装程序只会释放文件。在解压缩后，首先进入到解压后的目录中，e.g rasp-20181221

如果你要开启远程管理，请先参考文档，找到 app_id/app_secret/backend_url 三个关键参数，然后执行如下命令，

如果你只是运行单机版，只需要指定 -install 参数，

这里的 <spring_boot_folder> 通常是 XXX.jar 包所在的目录。具体 jar 的名字请咨询业务线。

2. 配置启动参数

假设 spring_boot_folder 目录为 /opt/spring-boot/。

修改 SpringBoot 启动参数，增加 -javaagent 绝对路径参数（注意将 -jar 放到命令最末尾），e.g

如果JDK版本为6-8，那么启动参数如下配置

如果JDK版本为11，那么启动参数如下配置

3. 检查安装是否成功

访问服务器，检查是否存在 X-Protected-By: OpenRASP 响应头即可。

手动安装

1. 安装软件

进入到 Spring Boot 所在目录，通常是 jar 所在的目录，e.g /opt/spring-boot

复制安装包内的 rasp 目录到当前目录，

OpenRASP 需要在 rasp 目录下释放一些动态链接库，所以还需要修改 rasp 目录的权限，e.g

2. 开启远程管理

配置方法同，不再赘述。

3. 配置启动参数

假设 rasp 目录释放到了 /opt/spring-boot/rasp/。

修改 SpringBoot 启动参数，增加 -javaagent 绝对路径参数（注意将 -jar 放到命令最末尾），e.g

如果JDK版本为6-8，那么启动参数如下配置

如果JDK版本为11，那么启动参数如下配置

4. 检查安装是否成功

访问服务器，检查是否存在 X-Protected-By: OpenRASP 响应头即可。

OpenRASP Documents (Old)

简介

hashtag常用链接

安装管理后台

hashtag快速开始

hashtag

开发插件

hashtag开发环境准备

hashtag编写第一个插件

hashtag调用插件接口

hashtag测试检测插件

hashtag拦截危险操作

hashtagFAQ

RASP 类接口

hashtag创建实例

hashtag获取agent版本号 (v1.2.0 加入)

hashtag获取JS引擎名称

hashtag发送HTTP请求 (v1.2.0 加入)

hashtag注册检测程序到对应检测点

hashtag将SQL语句解析为 Token（BETA）

hashtag将 Bash/CMD 语句解析为 Token（BETA）

hashtag打印调试日志

hashtag获取插件名

hashtag手动调用检测方法

Context 类接口

hashtag获取请求路径

hashtag获取 Query String

hashtag获取请求方法

hashtag获取请求协议

hashtag获取请求头

hashtag获取请求体

hashtag获取请求 JSON

hashtag获取请求参数

hashtag获取请求来源地址

hashtag获取服务器信息

hashtag获取Web根目录

hashtag自定义实例

参数说明

hashtag数据库查询

hashtag读取目录

hashtag请求参数

hashtag读取文件

hashtag写入文件

hashtag删除文件

hashtag文件包含操作

hashtagWebDAV 操作

hashtag文件上传

hashtag文件重命名

hashtag命令执行

hashtagXML 外部实体引用

hashtagStruts OGNL 表达式解析

hashtagRMI 反序列化

hashtag服务器端 HTTP 请求

hashtag服务器端 HTTP 请求 - 重定向之后

hashtag代码执行

hashtag类库加载

hashtag响应检查

Java 版本

hashtag简要说明

hashtag启动流程

hashtagHook Class 流程

hashtag请求处理流程

hashtag基线检测

PHP 版本

hashtag简要说明

hashtag启动流程

hashtag日志模块{#log-module}

hashtagV8模块

hashtagHOOK模块

hashtag文件监控模块

hashtag白名单实现

hashtag容器支持

hashtag请求处理流程

管理后台

hashtag业务模型

hashtag技术架构

Java 版本

hashtag获取源码

hashtag准备环境

hashtag编译 openrasp-v8 基础库

常用链接

快速开始

开发环境准备

编写第一个插件

调用插件接口

测试检测插件

拦截危险操作

FAQ

创建实例

获取agent版本号 (v1.2.0 加入)

获取JS引擎名称

发送HTTP请求 (v1.2.0 加入)

注册检测程序到对应检测点

将SQL语句解析为 Token（BETA）

将 Bash/CMD 语句解析为 Token（BETA）

打印调试日志

获取插件名

手动调用检测方法

获取请求路径

获取 Query String

获取请求方法

获取请求协议

获取请求头

获取请求体

获取请求 JSON

获取请求参数

获取请求来源地址

获取服务器信息

获取Web根目录

自定义实例

数据库查询

读取目录

请求参数

读取文件

写入文件

删除文件

文件包含操作

WebDAV 操作

文件上传

文件重命名

命令执行

XML 外部实体引用

Struts OGNL 表达式解析

RMI 反序列化

服务器端 HTTP 请求

服务器端 HTTP 请求 - 重定向之后

代码执行

类库加载

响应检查

简要说明

启动流程

Hook Class 流程

请求处理流程

基线检测

简要说明

启动流程

日志模块{#log-module}

V8模块

HOOK模块

文件监控模块

白名单实现

容器支持

请求处理流程

业务模型

技术架构

获取源码

准备环境

编译 openrasp-v8 基础库

开始编译

常见问题

1. maven 超时

2. git-commit-id-plugin 错误

3. 缺少 Premain-Class 属性

开发环境准备

编写第一个插件

调用插件接口

测试检测插件

拦截危险操作

FAQ

创建实例