开发一个检测插件

本节介绍如何开发并发布一个 JavaScript 检测插件。

开发环境准备

  • 下载并安装 NodeJS,Ubuntu 系统可使用 sudo apt-get install -y nodejs 命令进行安装

  • 安装插件开发工具 openraspjs:

  1. npm install -g openrasp

编写第一个插件

检测插件针对应用的行为进行检测,当应用执行数据库查询、文件读写等操作,OpenRASP 引擎就会调用检测插件,并将相关参数一并传递过来。一个最小的SQL检测插件如下所示:

  1. const plugin_version = '2018-1000-1000'
  2. const plugin_name    = 'test-plugin'
  4. 'use strict'
  5. var plugin  = new RASP(plugin_name)
  7. const clean = {
  8.     action:     'ignore',
  9.     message:    'Looks fine to me',
  10.     confidence: 0
  11. }
  13. // BEGIN ALGORITHM CONFIG //
  15. var algorithmConfig = {}
  17. // END ALGORITHM CONFIG //
  19. plugin.register('sql', function (params, context) {
  20.     plugin.log('SQL query: ' + params.query)
  21.     return clean
  22. })
  24. plugin.log('plugin-demo: plugin loaded')

首先,我们调用 plugin.register 注册了SQL查询的检测函数,并将SQL语句打印到插件日志。其中,

  • params 为检查点提供的参数,如SQL语句、要读取的文件等等
  • context 为请求信息,如请求参数,服务器信息等等 然后,我们在回调函数里,调用 plugin.log 打印了SQL查询语句

最后,我们在回调函数里,返回检测结果,即 "放行"

目前我们支持14个检测点,具体请看 参数说明 文档。

调用插件接口

我们在 RASP 类里提供了一些接口,可以直接在插件里调用。比如,你可以调用 RASP.sql_tokenize 将SQL语句转化为 token:

  1. plugin.register('sql', function (params, context) {
  2.     plugin.log('SQL tokens ', RASP.sql_tokenize(params.query, params.server))
  3.     return clean
  4. })

详细 JS API 说明请看 接口说明 文档。

测试检测插件

现在,我们已经完成了检测插件,下一步是进行测试。测试有两种方法:

  • 参考 单元测试,编写JSON测试用例并使用 openraspjs 进行测试
  • 参考 安装插件,将插件放到安装了 OpenRASP 的应用服务器进行测试 若你是初次接触插件开发,我们推荐使用第二种方式,即使用 OpenRASP 单机版调试。具体调试方法请参考上述文档,这里不再赘述。

拦截危险操作

现在,我们已经能够编写检测插件,并在客户端运行。接下来就是拦截攻击了,在回调函数里,将返回的 action 字段改为 block 即可拦截请求。比如,当SQL语句包含union注入特征,我们想拦截整个请求的话,可以这样写:

  1. plugin.register('sql', function (params, context) {
  2.     plugin.log('SQL tokens ', RASP.sql_tokenize(params.query, params.server))
  4.     if (/union.*select.*from.*information_schema/.test(params.query)) {
  5.         return {
  6.             action:     'block',
  7.             message:    '拦截SQL查询,因为XXX',
  8.             confidence: 90
  9.         }
  10.     }
  12.     return clean
  13. })

在官方插件里,实际的检测算法要复杂的很多,有兴趣可以参考 official.js 的实现。如果不想拦截攻击,只是想记录攻击日志,可将 action 字段设置为 log

最后, confidence 字段用来标记报警的可信度,官方插件的范围是 90~100,越高报警的可靠性越高。

注意: 当某个插件拦截了攻击,其他插件将不在被调用。

注意事项

  • 插件环境可能不支持某些最新的 JavaScript 语法,请使用 openrasjs 进行语法检查
  • 插件不能使用与平台相关的全局对象,只能使用 JavaScript 标准内建对象
  • 插件可以像编写 Node.js 程序一样引入其他模块,然后通过 webpack 或 browserify 等工具打包成一个文件,但是注意不能引入与平台相关的模块,例如: Node.js 的 http 模块