• 系统架构 - Java 版本
    • 简要说明
    • 启动流程
    • Hook Class 流程
    • 请求处理流程
    • 基线检测

    系统架构 - Java 版本

    简要说明

    java 版本使用 javaagent 机制来实现。在服务器启动时,可动态的修改Java字节码,对敏感操作的函数进行挂钩,比如:

    • 数据库操作
    • 文件读取、写入操作
    • 命令执行
    • … 当服务器发生攻击,就会触发这些Hook点,此时RASP agent就可以获取到函数的参数,比如要读取的文件名、要执行的命令等等。

    启动流程

    • 启动时首先会进入 javaagent 的 premain 函数,该函数会在 main 函数之前预先执行,javaagent参考文档
    • 当去 hook 像 java.io.File 这样由 BootstrapClassLoader 加载的类的时候,无法从该类调用非 BootstrapClassLoader 加载的类中的接口,所以 agent.jar 会先将自己添加到 BootstrapClassLoader 的ClassPath下,这样 hook 由 BootstrapClassLoader 加载的类的时候就能够成功调用到 agent.jar 中的检测入口
    • 释放 log4j 日志配置文件,如果存在则跳过
    • 根据 openrasp.yml 文件初始化相应配置项
    • 初始化 JS 插件模块
      • JS 上下文类初始化
      • 插件文件初始化
    • 初始化字节码转换模块
      • 给 load class 操作进行插桩操作,当类加载的时候会先进入 agent 进行处理
      • 对于在初始化前已加载的类执行 retransform 处理,e.g FileInputStream
    • 输出启动成功日志,开启全局 Hook 开关(启动阶段为关闭状态)
      • 若启动过程中发生错误,记录错误日志
    • 给 openrasp.yml 配置文件和 js 插件目录以及 assets 目录增加文件监控,以便文件内容更改的时候不需要重启就能够实时生效

    Hook Class 流程

    • 因为启动时候进行了插桩操作,当有类被 ClassLoader 加载时候,所以会把该类的字节码先交给自定义的 Transformer 处理
    • 自定义 Transformer 会判断该类是否为需要 hook 的类,如果是会将该类交给 javassist 字节码处理框架进行处理,javassist
    • javassist 框架会将类的字节码依照事件驱动模型逐步解析每个方法,当触发了我们需要 hook 的方法,我们会在方法的开头或者结尾插入进入检测函数的字节码
    • 把 hook 好的字节码返回给 transformer 从而载入虚拟机 启动时架构如下图所示:

    images/startup.png

    请求处理流程

    我们以 tomcat + JDBC + MySQL 为例,简单说明下请求处理的流程

    • 服务器收到一个请求,从而进入了服务器的请求 hook 点(该 hook 点每个服务器不一样,具体参照源码),该 hook 点标注当前线程为请求线程,开启当前线程的检测开关并把请求对象和响应对象进行缓存,以便后面使用
    • 服务器发起SQL查询
    • 进入 SQLStatementHook 点,我们挂钩了 execute、executeUpdate、executeQuery 等方法,从该方法进入检测流程如下:
      • 判断当前线程是否为请求线程(第一步标记的),如果是继续下面检测
      • 采集 connection_id(这个字段仅JDBC支持)SQL 语句以及数据库类型 等信息
      • 构建参数信息,调用本地插件和 JS 插件进行安全检测,JS 插件由 Rhino 引擎执行,Rhino 引擎执行是 mozilla 为 java 提供的 JavaScript引擎,该引擎会将 JS 代码编译为 java 的 class 字节码在 JVM 中运行,Rhino 引擎文档
      • 根据插件的执行结果决定是拦截请求、放行还是仅打印日志
    • 进入 SQLResultSetHook 点,我们挂钩了 resultSet.next 方法
      • 调用本地插件检查是否发生拖库行为,默认策略为一次查询结果超过500条就报警
    • 若决定拦截攻击
      • 输出报警日志到 logs/alarm.log
      • 如果header还没有发出,默认使用 302 跳转到拦截页面
      • 如果body还没有发出,则重置未发送的body
      • 输出自定义拦截页面跳转js脚本
        • </script><script>location.href='…/?request_id=xxx'</script> OpenRASP 中JS引擎执行架构如下图所示:

    images/js.png

    基线检测

    我们以 tomcat 启动为例,说明基线检测流程

    • 进入了基线检测关键函数(tomcat 启动函数)
    • 进入本地基线检测插件(注:基线检测不进入js插件检测),检测当前环境的关键参数(http-only是否开启,是否为root启动等)
    • 根据检测结果决定是否拦截,不拦截的情况下只打印日志到 logs/policy_alarm.log 检测架构如下图所示:

    images/check.png