我的书签
添加书签
移除书签安装测试用例
为了验证OpenRASP的漏洞检测效果,或者IAST工具的漏洞检测能力,我们提供了多个测试用例,覆盖常见高危漏洞。测试用例的部署也非常简单,复制到 webroot/webapps 目录即可。
下载测试用例
常用镜像:
文件说明
| 文件名 | 适用服务器 | 说明 |
|---|---|---|
| php-vulns.tar.gz | PHP | 主要测试用例 |
| vulns.war | Java | 主要测试用例 |
| S2-016.war | Java | Struts S2-016 漏洞 |
| fastjson.war | Java | fastjson RCE 漏洞 |
| fastjson-1.2.60.war | Java | fastjson 1.2.60 RCE 漏洞 |
| wxpay-xxe.war | Java | 某支付系统 XXE 漏洞 |
| CVE-2019-10173.war | Java | xstream 反序列化漏洞 |
| CVE-2019-12384.war | Java | jackson-databind 反序列化漏洞 |
检测能力说明
请参考如下几篇文章:
用例使用说明
在每个测试用例的页面里,我们都给出了正常的请求样例,以及攻击性的请求样例。你可以点击页面上的链接触发,也可以使用 curl 命令发出请求。具体请参考实际的页面:
攻击拦截说明
当攻击被拦截,OpenRASP 会显示特定的拦截页面,以及当前 Request ID,事后可根据这个ID去搜索对应的攻击日志。如果你发现 OpenRASP 无法拦截攻击,很有可能是安装没有成功,请参考 常见安装问题 文档进行排查,并检查应用启动日志是否有错误,e.g catalina.out
值得注意的是,默认我们不开启拦截,需要你关闭 系统设置 -> 防护设置 -> 将所有算法设置为「记录日志」模式 开关,保存后等待一个心跳周期生效;单机版需要参考 单机版本 - 开启拦截 修改插件,才能开启拦截。
最后,若要了解报警里有哪些字段信息,请查看 日志说明 文档。
FAQ
1. SpringBoot 如何安装 JSP 测试用例?
请参考 仰望星空 - springboot中使用jsp 这篇文章进行操作。
