RASP攻防：RASP安全应用与局限性浅析

文｜腾讯安全平台部数据安全团队

qiye 5.6 版本是可以使用GOT表劫持。

下面简单描述一下劫持GOT表的步骤，以system替换open函数为例：

1. 读取/proc/self/maps 找到php与glibc在内存中的基地址
2. 解析/proc/self/exe 找到php文件中open@plt的偏移，解析libc.so找到system函数的偏移地址
3. 解析 /proc/self/mem 定位 open@plt 对应open@got的地址，以及libc.so中system 函数的内存地址
4. 将system 函数的内存地址 写入到 open@got里
5. 主动调用fopen("/bin/whoami") ,即相当于调用 system("/bin/whoami")

不在文中放exp源码了，具体源码在前文提到的git仓库中，大家可以根据实际环境进行调试修改，并不通用。

四、总结

单纯就RASP本身而言，RASP的优点在于能嵌入在应用程序内部，应用代码无感知，更了解应用程序上下文，方便定位漏洞信息，更少的误报和漏报，对各种绕过手法具有更强的防护能力；但缺点在于PHP RASP会对服务器的性能造成影响，推动部署落地相对困难。不过随着DevSecOps理念的推广，未来借助于云、容器等成熟的大规模基础设施和技术，通过优化完全有可能提供更优雅更易于接受和使用的部署方案，能够带来更快更精准更细致入微的安全检查及防护能力。关于DevSecOps理念与思考，大家可以参考我们团队之前的文章： “安全需要每个工程师的参与”-DevSecOps理念及思考。

虽然依然有一些对抗手段，但是RASP 在Web安全领域依然是现阶段强有力的存在。但是安全没有银弹，不存在一劳永逸的系统和办法，在漏洞/入侵检测上我们需要扫描器，WAF，IDS，EDR等系统的配合共建防御体系，纵深防御才是长久之道，并且需要持续研究在对抗中不断提升和发展。

参考文献：

作者：腾讯安全平台部数据安全团队 qiye & baz

转载请注明来自网盾网络安全培训，本文标题：《RASP攻防：RASP安全应用与局限性浅析》

标签：数据安全系统安全