什么是 RASP

簡單來說它是一種新型應用安全保護技術，它將保護程序像疫苗一樣注入到應用程序中，應用程序融為一體，能實時檢測和阻斷安全攻擊，使應用程序具備自我保護能力，當應用程序遭受到實際攻擊傷害，就可以自動對其進行防御，而不需要進行人工干預。RASP技術可以快速的將安全防御功能整合到正在運行的應用程序中，它攔截從應用程序到系統的所有調用，確保它們是安全的，并直接在應用程序內驗證數據請求。

RASP vs WAF

很多時候大家在攻擊中遇到的都是基于流量規則的waf防御，waf往往誤報率高，繞過率高，市面上也有很多針對不同waf的繞過方式，而RASP技術防御是根據請求上下文進行攔截的，和WAF對比非常明顯，比如說：

攻擊者對url http://http.com/index.do?id=1進行測試，一般情況下，掃描器或者人工測試sql注入都會進行一些sql語句的拼接，來驗證是否有注入，會對該url進行大量的發包，發的包可能如下

http://xxx.com/index.do?id=1' and 1=2--

但是應用程序本身已經在程序內做了完整的注入參數過濾以及編碼或者其他去危險操作，實際上訪問該鏈接以后在數據庫中執行的sql語句為

select id,name,age from home where id='1 \' and 1=2--'

可以看到這個sql語句中已經將單引號進行了轉義，導致無法進行，但是WAF大部分是基于規則去攔截的（也有小部分WAF是帶參數凈化功能的），也就是說，如果你的請求參數在他的規則中存在，那么waf都會對其進行攔截（上面只是一個例子，當然waf規則肯定不會這么簡單，大家不要鉆牛角尖。），這樣會導致誤報率大幅提升，但是RASP技術可以做到程序底層拼接的sql語句到數據庫之前進行攔截。也就是說，在應用程序將sql語句預編譯的時候，RASP可以在其發送之前將其攔截下來進行檢測，如果sql語句沒有危險操作，則正常放行，不會影響程序本身的功能。如果存在惡意攻擊，則直接將惡意攻擊的請求進行攔截或凈化參數。

RASP 的優點

• RASP 能夠看到系統里所有用戶行為的細節，這樣對于提高安全攻擊識別的準確性有非常大的幫助。 比如RASP能非常清楚的理解用戶的邏輯，配置以及數據和事件流，這就給非常精確的探測和攔截安全攻擊行為提供了堅石的基礎。

• 另外 RASP 能夠自我保護數據，能夠保護數據從創建到消亡的全過程。

• RASP 和應用程序運行在一起，擁有用戶的數據，RASP 在安全保護上想象的空間非常的大，RASP 可以滿足很多企業級的數據保護需求， 比如數據透明加解密，一些只在系統內使用保密數據就可以使用加密，即使黑客將數據偷竊出去，也無法破解和解密，這樣更不存在其他的問題了。

RASP 的缺陷

• 不同的編程語言可能編譯語言和應用程序的版本不一致都導致RASP產品無法通用，甚至導致網站掛掉

• 如果RASP技術中對底層攔截點不熟悉，可能導致漏掉重要hook點，導致繞過

• 對于csrf、ssrf、sql語句解析等問題目前還是基于部分正則進行防護(對于sql語句的解析問題可以使用AST語法樹進行解析)

回答所涉及的環境：聯想天逸510S、Windows 10。