- 综合排序
- 最热优先
- 最新优先
- 来自专栏huofo's blog
Java安全之JNI绕过RASP
Java安全之JNI绕过RASP 0x00 前言 前面一直想看该JNI的相关内容,但是发现JNI的资料还是偏少。后面发现JNI在安全中应用非常的微妙,有意思。 0x01 JNI概述 JNI的全称叫做(Java Native Interface),其作用就是让我们的Java程序去调用C的程序。 0x03 JNI 绕过RASP 执行命令 在RASP里其实是Hook掉了一些Runtime、ProcessBuilder 等类,但是Runtime.exec调用的是ProcessBuilder.start 假设一个场景一个站点使用RASP,这时候如果上传一个webshell 那么这时候就会去用到JNI去调用该dll文件就可以进行一个绕过,可以先来实现这么一个功能,后续还需要考虑到的是怎么将几个文件封装到一起 (ipconfig); } } image.png 调用栈: image.png 命令就执行成功了,这里不是调用一些自带的Runtime等方法,而是调用dll文件中封装的方法,能够去绕过一些RASP
1.7K10编辑于 2022-03-18 - 来自专栏RASP社区
RASP解决Java安全问题探讨
基于 RASP 的 Web 应用保护技术 目前较为流行的保护 Java 应用程序的是运用运行时应用程序自我保护 (RASP),由应用程序运行时本身实现。 通过 RASP 技术,可以为包含漏洞的应用程序提供临时保护,为漏洞修复争取宝贵时间。 Java 应用程序实现 RASP 的主流方式是利用 JVM 虚拟机提供的标准接口 Instrumentation。 原理综述 RASP 在 Java 系统中的工作原理如下图所示: 图片 RASP 探针能够将安全保护能力嵌入到应用程序的执行流程中,因而也被称为“代码疫苗”技术。 基于 Java 系统中 RASP 的应用 01精准应用保护 精准应用保护是指 RASP 相对流量侧安全防护工具具有更低的误报。 另一个缺憾则是 RASP 在不同语言下的解决方案并不相同,本文主要介绍的是 RASP 在 Java 中的应用,当其出现在 PHP 或其他不同语言的开发框架下,则需要形成一套独立的 RASP 产品。
1.4K30编辑于 2023-04-17 - 来自专栏基础web安全
RASP实践分析
RASP可以检测那些漏洞 攻击类型 RASP支持 WAF支持 跨站脚本(XSS) ✔ /rasp-cloud-2021-02-07/rasp-cloud -d 6、访问后台 http://172.26.81.233:8086/ [20210321231555.png] 7、点击添加主机 下载 PHP 安装包 curl https://packages.baidu.com/app/openrasp/release/1.3.6/rasp-php-linux.tar.bz2 -o rasp-php-linux.tar.bz2 tar -xvf rasp-php-linux.tar.bz2 cd rasp-\*/ install.php 进行安装 . /install.php 默认安装路径为 /opt/rasp,可替换为其他路径 php install.php -d /opt/rasp --heartbeat 90 --app-id c0c523ce311cef92c6f3e9eee306777c99010ce7
1.6K30发布于 2021-03-22 - 来自专栏腾讯安全应急响应中心
RASP攻防 —— RASP安全应用与局限性浅析
/blog/msg/57);近几年从PHP逐步扩展到Java,Python,Nodejs等其他语言。 经过多年的实践我们发现RASP也存在一些缺陷和不足,本文以PHP RASP作为研究对象抛砖引玉,在此分享RASP的应用场景和问题。 本文主要分三个部分:RASP架构原理简要介绍、RASP安全应用场景介绍 及 RASP对抗浅析。 三、RASP 对抗浅析 在上文中,介绍了PHP RASP的安全应用场景和实现原理,写了很多RASP的优点,但俗话讲的好:没有绝对安全的系统,接下来分享一下RASP存在的不足。 先看一下RASP在LINUX系统中的层级: rasp层级.png PHP RASP作为php解释器的扩展,运行在php解释器层面,也就是说在与PHP RASP同级或者在其层级之下的操作,它的监控基本上是失效的
2.4K30发布于 2020-09-21 WAF和RASP技术,RASP与WAF的“相爱相杀”
RASP什么是RASP在2014年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP。 该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行的。RASP vs WAF那么说了这么多,RASP相较于WAF的区别是什么呢?他们之间的优劣势又区分在哪呢? RASP技术的缺陷不同的编程语言可能编译语言和应用程序的版本不一致都导致RASP产品无法通用,甚至导致网站挂掉;如果RASP技术中对底层拦截点不熟悉,可能导致漏掉重要hook点,导致绕过;对于csrf、 RASP与WAF结合的效果WAF与RASP组成纵深防御体系:WAF提供真实的攻击来源:企业的应用通常都是在网关或者反向代理之后的,当流量进入应用时,RASP探针在大多数情况下其实只能拿到反向代理或者网关的 总结总的来说,RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。
2.1K00编辑于 2024-04-09- 来自专栏giantbranch's blog
应用实时防护(RASP)
/manager/html 初始化 http://localhost:8080/wavsep/wavsep-install/install.jsp OpenRASP安装 先看看最新版的能不能行 下载 rasp-java.tar.gz 或者 rasp-java.zip 并解压缩。 之后进入到解压后的目录中执行RaspInstall.jar wget https://github.com/baidu/openrasp/releases/download/v1.3.7/rasp-java.zip unzip rasp-java.zip cd rasp-2022-01-28/ # /usr/share/tomcat7是tomcat根目录,可以通过whereis tomcat7查看,一般是含有bin 目录的 java -jar RaspInstall.jar -install /usr/share/tomcat7 下面就是安装成功了 root@ubuntu:~/rasp-2022-01-28# java
1.2K10编辑于 2024-12-31 《Java RASP攻防技术解析:实战绕过与纵深防御新思路》
二、RASP技术通过运行时字节码插桩实现应用层深度防护 基于Java Instrumentation机制,在类加载时动态修改危险方法字节码。 三、实战绕过方案揭示RASP防护依赖上下文检测的局限性 攻击者通过多维度技术成功绕过开源RASP防护: 线程转移技术:将恶意操作从监控线程转移到非请求线程,规避基于线程上下文的检查 未监控类利用:发掘org.springframework.scheduling.support.MethodInvokingRunnable 用于关键危险操作 防御方可通过WAF+RASP+EDR立体化防御体系,将0day攻击防御率提升至85%以上(据腾讯云安全攻防演练数据)。 五、未来攻防演进趋向智能对抗与深度融合 新一代RASP采用ASM/JVMTI/JNI技术,在Java层和JVM层同时工作: Java层提供丰富应用日志 JVM层处理核心拦截逻辑 使绕过难度提升3倍(据腾讯云安全实验室测试数据 材料来源:腾讯云黑客松技术分享《深入Java RASP攻防:原理剖析与绕过》(演讲人:张亚龙)
24320编辑于 2026-04-04Java RASP攻防实践与腾讯云应用层防护价值
阐述Java RASP核心技术实现与腾讯云安全方案 Java RASP实现机制 基于Java Agent+Instrumentation运行时插桩,分两种方案: Pre-main Agent:通过- 腾讯云安全方案 依托云鼎实验室、腾讯安全众测生态,整合RASP技术,提供运行时应用自我保护能力,联动云端分析引擎实现策略下发、环境监测、强制中断与日志上报。 案例3:JNI层绕过 将恶意操作从Java层转至Native层(通过System.loadLibrary加载恶意so/dll),规避Java字节码插桩监控(需上传恶意库文件)。 总结腾讯云RASP技术领先性与选择理由 技术领先性 多层防护架构:新一代RASP采用ASM/JVMTI/JNI技术,同时工作于Java层(应用日志)与JVM层(核心拦截),提升绕过难度。 (数据来源:演讲人张亚龙(钱塘征信安全攻防研究员)技术分享《深入Java RASP攻防:原理剖析与绕过》及腾讯云安全公开材料)
26110编辑于 2026-04-04- 来自专栏安全乐观主义
JNI技术绕过rasp防护实现jsp webshell
想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。 java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp 实战使用 经测试:jdk1.7+tomcat8.5+windows环境 jdk10+tomcat+Mac rasp安全防护全开。 rasp安全防护全开。 ? ? ? e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %> 毫不意外的被rasp 使用jni突破rasp的jsp来执行shell,成功绕过。 成功绕过。 ? 使用d盾查杀 ? virustotal: ? 其他 如果您有其他的思路和建议,欢迎同我交流:)
1.9K20发布于 2019-11-20 - 来自专栏逆向与安全
web安全防御之RASP技术
0x02:RASP防御实现与攻防测试(JAVA) 1.Java版的RASP技术使用javaagent机制来实现。 实现与攻击测试 上面我们已经大致了解了整体框架流程,知道了要实现Java的RASP所要具备的能力和技术,在Java中有Javassist、与ASM可以实现对Java字节码的修改;有了修改.class字节码文件的技能 ,还需要能够在Java运行期间注入我们的防护程序,通过上面的流程框架我们知道Java运行时是发生在JVM中,jdk1.5以后引入了javaAgent技术,javaAgent是运行方法之前的拦截器关键方法 ,只要在JVM中加入启动参数-javaagent配置Java代理可以在运行时注入我们的防护程序。 图9 c.接下来我们将实现一个用于保护上面javaweb的RASP保护程序,上面说过只要在JVM的-javaagent参数中配置我们的保护程序,就能够轻松实现Java的RASP,Java代理程序入口类需要有名为
6.2K31发布于 2019-05-15 - 来自专栏RASP社区
攻防演练 | 攻防在即,RASP为上
不得不提到RASP,它是实现内部安全的绝佳技术。运行时应用程序安全保护 (RASP) 工具通过使用直接嵌入到应用程序中或与应用程序相邻的安全引擎来保护应用程序。 运行时情境安全虽然RASP经常拿来与WAF做对比,然而它更像是WAF后面的一道防线,增强了安全性。RASP通过在现有应用程序代码中植入传感器来实时监控和控制关键执行点。 利用这些技术,RASP 成为应用程序的一部分,使它们能够独立于其部署环境而受到保护。而且,RASP可以在本地、云和容器的任何部署架构中运行。 而且,RASP技术集合BAS技术可以在攻防演练活动中实现自动化检测,对安全威胁进行验证,确保安全链路完整。正因此,RASP技术可以更好的在攻防演练中发挥作用,确保防线安全,避免防守方丢分。 云鲨RASP 点击使用
1K30编辑于 2023-04-19 - 来自专栏黑白天安全团队
RASP的安全攻防研究实践
4.RASP绕过方式研究 4.1 JNI注入 加载动态链接库绕过方式 JNI的全名是Java Native Interface,正如名字所述,这是一个接口。 首先创建一个带有Native方法的JniDemo类 package com.rasp.demo; import java.io.File; public class JniDemo { { /* /com/rasp/demo/JniDemo.java -h com.rasp.demo.JniDemo 执行后会在当前的目录里面生成一个com_rasp_demo_JniDemo.h的文件名 /* DO /String;)Ljava/lang/String; */ JNIEXPORT jstring JNICALL Java_com_rasp_demo_JniDemo_RaspFilter (JNIEnv #include "com_rasp_demo_JniDemo.h" JNIEXPORT jstring JNICALL Java_com_rasp_demo_JniDemo_RaspFilter (JNIEnv
3K20编辑于 2023-01-31 - 来自专栏糖果的实验室
JNI技术绕过rasp防护实现jsp webshell
想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。 java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp 实战使用 经测试:jdk1.7+tomcat8.5+windows环境 jdk10+tomcat+Mac rasp安全防护全开。 rasp安全防护全开。 ? ? ? e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %> 毫不意外的被rasp 使用jni突破rasp的jsp来执行shell,成功绕过。 成功绕过。 ? 使用d盾查杀 ? virustotal: ?
2K10发布于 2019-11-20 与WAF的“相爱相杀”的RASP
RASP真能取代WAF吗?就像WAF是防火墙的演进版本一样,大家喜欢把RASP称为下一代WAF。 另外,RASP由于和运行时环境耦合,在实际应用时,会更关注性能和兼容性影响:性能影响RASP工作在应用运行时环境,不可避免会占用应用的计算资源。 RASP的优势拦截混淆和加密的流量:如前文所述,RASP并不需要对流量进行解密,可以根据场景对恶意行为进行分析,有效拦截被精心设计的攻击流量。 根据RASP拦截信息生成WAF策略:例如RASP将异常的SQL执行上报后,安全人员可以通过分析得出那些敏感参数,并在WAF中进行标记,这既可以大大降低RASP给应用带来的性能消耗,同时也能让WAF警报更加准确 核心架构总结RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。
63000编辑于 2024-05-24- 来自专栏RASP社区
攻防演练|RASP让WebShell攻击破防了
RASP RASP将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。 以 Java 内存马为例,主要有以下两种类型: 基于中间件和框架实现:基于 Servlet 或 Spring 等框架封装过的 Servlet 进行利用 基于 Java Instrumentation 方式 :基于 Java 1.5 新加入的特性,通过 jar 包或构造 InstrumentationImpl 类进行利用 对于方式一和构造 InstrumentationImpl 类的内存马,它需要先利用 RCE 云鲨 RASP 通过对底层命令执行方法、I/O 等进插桩,只要触发了敏感行为探测逻辑,云鲨 RASP 均能在第一时间进行拦截并上报。 官网:https://rasp.xmirror.cn/
1.4K30编辑于 2023-04-17 - 来自专栏云鼎实验室的专栏
云鼎RASP产品专项挑战赛,邀您来战!
正是在这样的背景下,RASP(应用自我保护技术)应运而生,它将防护引擎巧妙地嵌入应用内部,实现了在脱离请求特征的情况下,依然能够精准识别代码注入、反序列化等应用异常,从而完美弥补了传统防护手段的不足之处 如今,RASP技术已广泛应用于企业安全建设中,成为抵御入侵行为的得力助手。 我们精心打造的云鼎RASP已就绪,诚邀您以攻击者视角,突破层层防护机制,验证安全边界的极致;通过构造奇特攻击载荷,挑战运行时防御的智能阈值。 这不是一次简单的CTF,而是重新定义应用安全的实验场。 注意: 1.直接通过Java函数方法调用读取flag.txt内容,不在本次众测活动收取的范围内,最终被视为无效绕过报告。
15510编辑于 2026-04-09 - 来自专栏腾讯安全
腾讯安全正式发布RASP+方案——泰石引擎
针对以上问题,腾讯安全新解法来了,腾讯安全RASP+方案——泰石引擎,于9月21日正式发布,助力企业一键破局!0Day防护,快人一步,化被动响应为主动防御。泰石引擎是什么? 可以自动检测 Java 等应用服务进程、自动注入RASP 插件,通过插件管理、虚拟补丁部署,实现一键化漏洞主动防御,为企业带来无需重启、无感防护的升级体验。 RASP+方案,加在哪?相较于传统方案,腾讯安全RASP+方案泰石引擎具备以下优势:01: 0day原生免疫借助云上优势,自动化高效响应高危漏洞,做到一键防御,快人一步,有效避免给黑客可趁之机。 相比主流RASP方案需要手动安装、配置,RASP+方案可以一键启停漏洞防御能力,无需企业配置接入应用、修改应用启动参数或重启业务进程,将对企业业务的影响和投入成本降至最低。 使得腾讯RASP+方案在内存占用和加载速度上更具优势;同时由于引用第三方组件极少,有效减少污染业务Class命名空间、供应链安全等风险的引入。如何快速体验?
2.2K31编辑于 2022-09-23 - 来自专栏FreeBuf
OpenRASP梳理总结
部署RASP 搭环境主要分为两部分:服务端和客户端 一、服务端(Linux环境) 环境需要 至少2G内存,java环境,创建一个非root用户(后面会叙述) 根目录下四个压缩包:jdk-8u192-linux-x64 账号:openrasp 初始密码:admin@openrasp 二、探针端(客户端) 环境需要 java环境(jdk),rasp支持的中间件 一个压缩包:rasp-java.tar.gz。 (一)配置环境变量 尽量使用程序本身的java环境 Linux配置java环境说明:https://www.cnblogs.com/yjd_hycf_space/p/7885099.html windows 配置java环境说明:https://www.cnblogs.com/zella/p/8309646.html (二)安装探针 1.解压rasp-java.tar.gz tar -xzvf rasp-java.tar.gz 2.安装探针 (1)进入解压缩后的rasp文件夹(以解压缩后的名字为准) cd rasp-2019-07-11 (2)安装rasp java -jar RaspInstall.jar -install
1.9K30发布于 2019-11-06 - 来自专栏RASP社区
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
<java.lang.String,java.lang.Object>org.apache.kafka.common.serialization.Serializer<K>org.apache.kafka.common.serialization.Serializer <java.lang.String,java.lang.Object>)将配置参数传入org.apache.kafka.clients.producer.KafkaProducer#KafkaProducer )执行userProvider的值由于RASP对javax.naming.InitialContext.lookup调用做了防护策略检测,所以会在此处拦截。 /04/04/cve-2023-25194-kafka-jndi-injection-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/----关于云鲨RASP悬镜云鲨RASP助力企业构建应用安全保护体系 详情欢迎访问云鲨RASP官网https://rasp.xmirror.cn/
2.2K30编辑于 2023-06-12 应对0day漏洞常态化:Java RASP底层防御机制剖析与实网攻防实战
权威技术溯源:本报告关键观点与技术链路提取自钱塘征信 安全攻防研究员 张亚龙(ekkoo)的专题分享《深入Java RASP攻防:原理剖析与绕过》。 主流Java RASP依赖JVM提供的运行时插桩能力(Instrumentation),通过Java Agent技术在类加载时动态注入安全检测逻辑,具体区分为两种工程落地模式: Pre-main Agent 针对当前基于Java语言层的RASP绕过方法(包括复杂的JNI Native层转移攻击),下一代RASP技术底座正发生根本性演进: 从单一的Java层防护向ASM/JVMTI/JNI联合技术架构升级。 新一代架构实施双层工作机制:由Java层负责提供并提取丰富的应用运行日志与上下文语义;将核心拦截处理逻辑下沉至JVM核心空间。 这种双层分离的架构设计,彻底改变了依赖Java线程状态的检测逻辑,极大提升了黑客规避底层安全检查的难度,代表了RASP向更高效、更稳定、更智能方向演进的技术确定性。
11510编辑于 2026-05-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号