我的书签
添加书签
移除书签快速接入
第一步: 下载最新版本的安装包
常用镜像
文件说明
第二步: 安装管理后台 (可选)
OpenRASP 支持单机防护,也支持远程管理。若要开启远程管理,请先参考 安装管理后台 安装管理后台。
第三步: 安装客户端
取决于你的服务器类型,请参考不同的子章节进行安装。比如 Tomcat 可以查看 Tomcat 服务器安装 进行操作。
第四步: 安装测试用例(可选)
如果你需要测试漏洞检测效果,请参考 安装测试用例 安装漏洞环境。
第五步: 安装IAST扫描工具(可选)
如果你需要安装扫描工具,请参考 安装灰盒扫描工具 页面进行安装和配置。
其他常用链接
开发相关
常见问题
常见问题
1. 常见自动安装失败原因
关于 java 不重启安装,卸载:由于不支持不重启升级,所以在不重启安装然后不重启卸载之后,想要再次安装需要重启服务器安装。
PHP 版本
2. OpenRASP 无法拦截攻击
Java 服务器
- 首先,使用浏览器访问网站,检查服务器是否启动成功
- 根据子章节的文档,检查 OpenRASP 是否安装成功
- 方法一: 访问网站,检查响应头里是否有
X-Protected-By: OpenRASP字样? - 方法二: 检查启动日志里是否有
OpenRASP Engine Initialized字样
- 方法一: 访问网站,检查响应头里是否有
检测测试用例是否支持
- 对于官方测试用例,若无法拦截,则说明存在绕过或者bug
- 对于其他测试用例,请联系QQ群群主,我们会检查PHP 服务器
首先,使用浏览器访问网站,检查服务器是否启动成功
- 若服务器没有启动,可检查
PHP/Apache/Nginx错误日志
- 若服务器没有启动,可检查
- 根据子章节的文章,检查 OpenRASP 扩展是否安装成功
- 方法一: 访问网站,检查响应头里是否有
X-Protected-By: OpenRASP字样? - 方法二: 创建内容为 的PHP文件并访问,检查页面中是否包含 openrasp 扩展信息?
- 方法一: 访问网站,检查响应头里是否有
- 检测测试用例是否支持
- 对于官方测试用例,若无法拦截,则说明存在绕过或者bug
- 对于其他测试用例,请联系QQ群群主,我们会检查
3. jnotify 无法释放
有的公司会定制应用启动脚本,比如 catalina.sh,当以root启动tomcat,他会自动切换到低权限用户,再继续启动
通常,你会看到如下的堆栈错误
这说明 OpenRASP 在释放 jnotify 动态链接库时出错(用来监控插件目录变更),错误原因是 Permission denied
4. Could not find or load main class com.baidu.rasp.App 错误
QQ群用户反馈,执行 RaspInstall 时报错,
经过排查,这是因为当前目录本身没有读取权限导致的,执行 chmod 777 $PWD 后解决。
5. APM 兼容性说明
如果你同时使用 OpenRASP 和 APM 产品,比如 pinpoint,那你需要增大 参数。否则运行一段时间后可能会出现 java.lang.OutOfMemoryError: PermGen space 错误,产生大量GC,最终导致服务器假死
如果原先没有配置过此参数,我们建议你设置为 1024m;如果配置过,我们建议在原先基础上增加至少 512m
6. JDK9 以上安装问题
由于 jdk9 以上版本的 modularity System 属性,在 jdk9 以上版本 java 环境下,需要在手动安装完 java 版本 OpenRASP 之后为服务器 添加以下 java 启动参数:
—add-opens=java.base/jdk.internal.loader=ALL-UNNAMED
7. 常见 v8 加载失败原因
7.1 java.io.IOException: Permission denied 异常
如果 /tmp 目录没有写权限,Java 会抛出 java.io.IOException: Permission denied 异常,e.g
此时请检查 /tmp 是否有写权限,以及是否有安全防护软件对 /tmp 目录增加了写保护。
7.2 java.lang.UnsatisfiedLinkError 错误
目前已知的情况有:
- JDK是64位的,在 docker:alpine 环境里无法启动。这个是已知 glibc 兼容问题,可以考虑换成 centos docker 容器。如果是其他情况,请加入联系我们。
