技术原理
通过动态代码注入技术在运行时将监控&保护代码(即探针)注入到应用程序的关键监控&保护点(即关键函数),探针根据预定义规则,结合通过保护点的数据、以及上下文环境(应用逻辑、配置、数据和事件流等),识别出攻击行为。
约束限制
● 当前只支持操作系统为Linux的服务器。
● 目前仅支持Java应用接入。
开启应用防护
1、登录管理控制台。在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
2、选择“主动防御 > 应用防护 > 防护设置”,进入“防护设置”页面。
3、单击“添加防护服务器”,在弹窗中勾选需要防护的服务器。
4、单击“添加并开启防护”,服务器防护流程创建成功。
5、回到“防护设置”页面,单击“微服务RASP防护”的状态,查看防护流程进度。
6、在弹窗中查看防护的流程,等待安装软件流程自动执行安装过程,待进度条下方状态为“软件安装已完成”表示自动安装完成。
7、登录主机,进入spring boot的启动路径,复制“配置启动参数”流程中微服务启动脚本粘贴到命令框。
8、启动参数配置完成后,执行流程第三步:重启微服务,重启微服务RASP后才能正常进行检测防护。
9、重启后在“防护设置”页面查看目标服务器“微服务防护状态”为“已生效”表示目标服务器已正常开启微服务RASP防护。
应用防护功能可以实时检测什么
|
检测项
|
检测描述
|
|---|---|
SQL注入 |
检测防御SQL注入(SQL Injection)攻击,检测web应用是否存在对应漏洞。 |
OS命令注入 |
检测防御远程OS命令注入(OS Command Injection)攻击,同时检测web应用是否存在对应漏洞。 |
XSS |
检测防御存储型跨站脚本(Cross-Site Scripting,XSS)注入攻击。 |
Log4jRCE漏洞检测 |
检测防御远程代码执行的控制攻击。 |
上传Webshell |
检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击,同时检测web应用是否存在对应漏洞。 |
XML External Entity Injection |
检测防御XXE注入(XML External Entity Injection)攻击,检测web应用是否存在对应漏洞。 |
反序列化输入 |
检测使用了危险类的反序列化攻击。 |
文件目录遍历 |
获取访问文件的路径或目录,匹配是否在敏感目录或敏感文件下。 |
Struts2 OGNL |
OGNL代码执行检测。 |
JSP执行操作系统命令 |
检测可疑行为——通过JSP请求执行操作系统命令。 |
JSP删除文件 |
检测可疑行为——通过JSP请求删除文件失败。 |
数据库连接异常 |
检测可疑异常——数据库连接抛出的认证和通讯异常。 |
0 day漏洞检测 |
检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 |
SecurityManager权限检测异常 |
检测可疑异常——SecurityManager抛出的异常。 |
处理防护事件
1、选择“防护事件”页签,查看检测到的告警事件。
单击目标告警名称,可查看目标告警的取证信息(请求信息、攻击源IP等)和扩展信息(检测规则、检测探针等),可根据取证信息和扩展信息排查问题、添加防护措施。
防护事件参数说明
|
参数名称
|
参数描述
|
|---|---|
告警级别 |
发现的告警事件的等级。 |
服务器名称 |
目标告警对应的服务器。 |
告警名称 |
目标告警的名称。 |
告警时间 |
发现告警的时间。 |
攻击源IP |
目标告警的IP地址。 |
攻击源URL |
目标告警的URL地址。 |
主机安全实用文档
活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理
活动时间: 2020年8月12日-2020年9月11日
活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;
-
免费主机安全_服务器漏洞扫描_免费主机安全体检
-
主机安全配置_Windows主机安全配置_Linux主机安全配置
-
主机加固_主机加固是什么意思_主机安全加固
-
主机安全怎么选_怎么购买主机安全_主机安全推荐
-
主机漏洞扫描工具有哪些_主机漏洞扫描原理_主机安全怎么扫描漏洞
-
处理主机告警事件_主机安全告警_怎么处理主机安全告警
