RASP之IAST扫描器的安装及使用
RASP管理后台安装
首先需要两个数据库,Elasticsearch和MongoDB,es用来存储报警和统计信息,mongo用来存储应用、账号密码等信息。
目前对数据库的要求是
- MongoDB版本大于等于3.6
- ElasticSearch版本大于等于5.6,小于7.0
我们使用docker安装这两个数据库,因为数据库一旦错误可以删除docker环境重新搭建。
ElaticSearch安装
因为版本要求在[5.6, 7.0)
我们这里安装6.5.4版本。
docker pull elasticsearch:6.5.4
docker run -d -p 9200:9200 -p 9300:9300 --name elaticsearch elasticsearch:6.5.4
最后curl 127.0.0.1:9200,出现如下图所示,说明安装成功
MongoDB安装
docker pull mongo:latest
docker run -itd --name mongo 27017:27017 mongo
最后curl 127.0.0.1:27017,出现如下图所示,说明安装成功
安装管理后台
下载rasp-cloud
我这里使用的版本是1.2.1
wget https://packages.baidu.com/app/openrasp/release/1.2.1/rasp-cloud.tar.gz
tar -zxvf rasp-cloud.tar.gz
cd rasp-cloud-2019-11-05/
vim conf/app.conf
修改app.conf的配置,确保下图红框内填写的正确性,这里是连接es和mongodb的地方,如果前面步骤都和我一样,那么这里不用修改
然后开启rasp-cloud服务
./rasp-cloud -d
访问你的8086端口,默认密码openrasp/aaa@qq.com,若是部署在公网,记得及时修改密码,出现下图说明安装成功。
IAST插件安装及配置
IAST插件安装
接下来安装IAST插件
直接下载PyInstaller打包的二进制版本
wget https://packages.baidu.com/app/openrasp/openrasp-iast-latest -O /usr/bin/openrasp-iast
配置MYSQL数据库,建立名为openrasp的数据库,并且为aaa@qq.com%授权,这里示例密码为rasp123,请自行修改为强密码。使用root账号连接mysql并执行如下语句:
DROP DATABASE IF EXISTS openrasp;
CREATE DATABASE openrasp default charset utf8mb4 COLLATE utf8mb4_general_ci;
grant all privileges on openrasp.* to 'rasp'@'%' identified by 'rasp123';
grant all privileges on openrasp.* to 'rasp'@'localhost' identified by 'rasp123';
配置管理后台
打开云控管理后台,就是端口为8086的那个后台
在插件管理中,下发IAST插件,选择推送。
接着在防护设置->Fuzz服务器地址里填入openrast-iast所监听的URL
最后在系统设置->通用设置中,修改检测配置
- 单个hook点最大执行时间设置为5000
- 开始文件过滤器:当文件不存在时不调用检测插件设置为关闭
- LRU大小设置为0
点击保存
配置并启动扫描器
在云控(8086那个端口)右上角添加主机->Fuzz工具安装找到fuzz工具安装命令,如下图所示。
如果修改过mysql的rasp用户的密码,这条链接也要修改密码,替换rasp123就好。
最后启动iast
openrasp-iast start
访问18664端口
成功
安装agent
agent安装是需要测试的靶机安装的。
我这里是自己搭建的一个dvwa,语言是php,所以安装的时候在云控机器中右上角选择添加主机,然后找到PHP服务器的安装过程。
按照这个安装就好了。
安装完成后在云控机器上选择主机列表,这里看到有了一个新的主机,说明agent搭建成功。
在靶机上随便点点,点一些有漏洞的点,在IAST的扫描器中会自动添加扫描任务
选择启动扫描,在发现漏洞后,云控主机会有漏洞列表。
详情什么的就自己看吧,这里不做赘述了。