检测能力说明(持续更新 ..)

    本表格参考 OWASP TOP 10 2017 进行分类,如果你有任何疑惑,请联系我们;具体每种攻击覆盖哪些场景,可翻到最下面查看详细说明

    OWASP TOP 10 覆盖说明

    OpenRASP 零规则检测算法介绍

    具体请查看以下几篇公众号文章

    覆盖场景说明

    1. 数据库: SQL注入

    覆盖场景:

    • GET、POST、Header 注入

    • 其他数据类型注入 覆盖类型:

    • 盲注、UNION 注入、时间差注入、错误注入、多语句注入

    • SQL 异常监控,语法错误、密码错误等等
    2. 数据库: 慢查询

    覆盖场景

    • SELECT 语句执行时间超过 3s(可配置)

    • SELECT 语句一次读取数据超过 500 条(可配置) 尚未实现

    • 慢查询 hook 点获取SQL语句较为困难

    • 无法区分网络耗时和SQL执行时间
    3. 任意文件上传

    覆盖场景

    • HTTP PUT 方式上传脚本文件,覆盖最新的 CVE-2017-12615
    • HTTP PUT + MOVE 方式,通过重命名实现脚本文件上传
    • 使用标准的 multipart 方式上传脚本文件
      • 支持 Java struts、spring、common.io 等框架
      • 支持 PHP 方式
    4. 敏感文件下载、任意文件读取

    覆盖场景

    • 通过扫描探测的方式,下载web目录下面的压缩包、SQL文件、其他用户文件等等
    • 利用任意文件下载漏洞,尝试跳出web目录下载系统文件,e.g /download.jsp?path=/../././//./.././/../../etc/hosts
    5. 文件目录列出

    覆盖场景

    • 使用 PHP WebShell 查看服务器的文件目录
    • 开启了 directory index,使得用户可以直接看到某个目录下的文件(此检查默认不开启)
    • 使用 ../../ 等方式跳出当前目录,查看其它目录内容
    6. 扫描器探测行为
    • 使用知名扫描器探测网站漏洞,e.g SQLMap、WVS 等等 说明
    7. CSRF

    覆盖场景

    • 使用 img/video/frame/.. 等方式,触发GET类型CSRF
    • Form 表单自动提交的方式
    • XHR 方式提交表单 说明
    8. Cookie 篡改

    覆盖场景

    • 修改cookie获取管理员权限
    9. CRLF

    暂无支持计划,原因如下

    覆盖场景

    • 在设置 HTTP header,或者处理其他TCP流时(比如FTP协议),插入换行符
    10. XXE

    覆盖场景

    • 通过 org.apache.xerces 引用外部实体
      • 访问 ftp/dict/gopher/expect/.. 等不常见协议,实现OOB攻击
      • 使用 file 协议读取敏感文件
    11. 反序列化漏洞

    覆盖场景

    • Java
      • fastjson
      • transformer
      • xstream
    • PHP
      • 待整理
    12. Struts OGNL 代码执行

    覆盖场景

    • Struts OGNL 系列所有代码执行漏洞 说明
    13. WebShell 行为
    • 使用SQL管理器访问数据库
    • 使用文件管理器下载敏感文件
    • 使用中国菜刀执行命令
    14. 远程命令执行

    覆盖场景

    • 使用 Runtime.exec() 类执行命令
    • 使用 等函数执行命令
    • 通过反序列化等方式执行命令 说明
    15. 命令注入

    覆盖场景

    • 使用 &|; 等符号截断、拼接命令
    • 使用 $(xxx)、反引号等方式注入命令
    16. XSS: 反射形式

    覆盖场景

    • 使用 PHP echo 函数直接输出 GPC
    • 用户输入含有HTML标签的内容,且直接输出到页面中
    17. XSS: 存储型

    覆盖场景

    • 后台盲打
    18. LDAP 注入

    敬请期待

    19. DOS: Regex Group 攻击

    覆盖场景

    • 常见 Regex DOS 攻击,e.g (a+)+(a|aa)+
    20. 打印敏感日志信息

    覆盖场景

    • 使用 log4j、java.util.logging 打印身份证、银行卡、信用卡等敏感信息
    21. 文件包含

    覆盖场景

    • 使用 include|include_once|require|require_once 等方式,包含日志、图片、文本文件等等
    22. NTLM 信息泄露攻击

    覆盖场景(仅限 Windows)

    • MySQL DNS 方式脱裤
    • 使用 302重定向到file/smb/scp协议 方式,泄露NTLM key
    23. SSRF

    覆盖场景

    • 绕过
    • 常见场景
      • 尝试访问 aws metadata,e.g http://169.254.169.254/latest/meta-data/
      • 尝试访问已知的回显服务,e.g *.burpcollaborator.netrequestb.in
      • 尝试使用 gopher://dict 等不常见协议
      • (Java)使用JSTL import方式访问内网资源
    24. 资产弱点识别
    • 使用存在已知漏洞的jar包(基于NVD数据库)
    25. 后台爆破识别

    覆盖场景