Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞的問題最近鬧得沸沸揚揚的，很多人都被大半夜叫起來緊急修復(fù)這跟問題。

有很多人在微信上問我：這種漏洞還能怎么修？下次有問題還要再升級版本嗎？有沒有啥一勞永逸的辦法？就沒啥辦法避免嗎？

其實，是有的。有一種技術(shù)，可以針對這類漏洞做定向攔截。可以讓開發(fā)者不用急急忙忙修這個漏洞，甚至你如果完全不想修都可以。

這就是RASP技術(shù)。

其實這個技術(shù)已經(jīng)誕生很久了，在安全圈也應(yīng)用很廣泛。應(yīng)用范圍也很廣泛了。

RASP

RASP 是 Runtime Application Self-Protection 的縮寫，這是一種應(yīng)用安全保護(hù)技術(shù)。他的原理是將保護(hù)程序注入到應(yīng)用程序中，與應(yīng)用程序融為一體，能夠起到實時監(jiān)測、阻斷攻擊的作用，使程序自身擁有自保護(hù)的能力。

聽起來是不是很高大上？

其實，RASP就是攔截從應(yīng)用程序到系統(tǒng)的所有調(diào)用，確保它們是安全的，并直接在應(yīng)用程序內(nèi)驗證數(shù)據(jù)請求。Web和非Web應(yīng)用程序都可以通過RASP進(jìn)行保護(hù)。該技術(shù)不會影響應(yīng)用程序的設(shè)計，因為RASP的檢測和保護(hù)功能是在應(yīng)用程序運行的系統(tǒng)上運行的。

RASP 技術(shù)非常是和對于0Day 漏洞的防護(hù)，如反序列化漏洞、JNDI 注入漏洞、表達(dá)式注入漏洞、SQL 諸如漏洞、遠(yuǎn)程代碼執(zhí)行漏洞等。

WAF 和 RASP

在安全防護(hù)上，很多人都知道WAF（Web Application Firewall），俗稱防火墻，那么，和防火墻相比，RASP 技術(shù)其實有著很多的優(yōu)點。

傳統(tǒng)的 WAF 主要通過分析流量中的特征過濾攻擊請求，并攔截攜帶有攻擊特征的請求。但是因為 WAF 是只能基于流量規(guī)則進(jìn)行防御，無法根據(jù)應(yīng)用上下文進(jìn)行檢測，所以存在誤報率高、容易繞過等問題。

但是，RASP 則不同，他就像疫苗會注入到人體一樣，RASP 是運行在應(yīng)用之中的，與應(yīng)用融為一體，可以獲取到應(yīng)用運行時的上下文，根據(jù)請求上下文進(jìn)行攔截可以對攻擊進(jìn)行精準(zhǔn)的識別和攔截。

防火墻就像為簇?fù)碓诖笕宋镏車谋ｇS，大人物去哪里都帶著保鏢，看起來防御力爆棚，但是大人物本人肌肉不發(fā)達(dá)也沒有武功，一旦保鏢被突破或者保鏢被調(diào)虎離山，那么這個大人物就沒有任何保護(hù)了，就非常危險了。而RASP 則是讓沒有武功的人在很短的時間并且付出的代價不高的情況下?lián)碛泻芨叩淖晕冶Ｗo(hù)能力。

RASP 具有以下優(yōu)點：

1.誤報率低。
2.可以防護(hù)0Day級別的漏洞攻擊。

同時也并不是完全沒有缺點，主要的問題就是可能帶來一定的性能損耗。還有就是開發(fā)難度比較高，需要對 JVM 字節(jié)碼、ASM 工具、漏洞觸發(fā)原理以及各類JAVA 應(yīng)用容器都有所了解。

RASP技術(shù)目前已經(jīng)非常成熟，在php、Java、.NET等多種語言中都有實現(xiàn)方案。

實現(xiàn)原理

不同于基于流量特征的檢測，RASP 主要關(guān)注應(yīng)用自身的行為，而非流量本身。

當(dāng) RASP 發(fā)現(xiàn)一個應(yīng)用，做了它不應(yīng)該做的事情時，大概率意味著當(dāng)前應(yīng)用已經(jīng)被攻擊者利用漏洞攻陷并做了一些高危操作。

以這次 Log4j的漏洞來看，RASP 并不關(guān)注請求中的流量是否包含了惡意的 payload，而是去關(guān)注 Log4j2 究竟使用 JNDI 功能去做了什么。如果進(jìn)行正常的 JNDI 查詢，就沒有問題；但如果企圖使用 JNDI 功能進(jìn)行命令執(zhí)行，就是一個顯而易見的危險行為。

RASP 要將自己注入到被保護(hù)的應(yīng)用中，基本思路類似于 Java 中的 AOP 技術(shù)，將 RASP 的Hook代碼注入到需要進(jìn)行檢測的地方，根據(jù)上下文和關(guān)鍵函數(shù)的參數(shù)等信息判斷請求是否為惡意請求，并終止或繼續(xù)執(zhí)行。

想要實現(xiàn)RASP，在 Java中逃不開 Agent 技術(shù)，Agent是一個運行在目標(biāo)JVM的特定程序，它的職責(zé)是負(fù)責(zé)從目標(biāo)JVM中獲取數(shù)據(jù)，然后將數(shù)據(jù)傳遞給外部進(jìn)程。

在Java SE 5之前，要實現(xiàn)一個Agent只能通過編寫Native代碼來實現(xiàn)。從Java SE 5開始，可以使用Java的Instrumentation接口（java.lang.instrument）來編寫Agent。

使? Instrumentation，開發(fā)者可以構(gòu)建?個獨?于應(yīng)?程序的代理程序（Agent），?來監(jiān)測和協(xié)助運?在 JVM 上的程序，甚?能夠替換和修改某些類的定義。

Java Agent支持目標(biāo)JVM啟動時加載，也支持在目標(biāo)JVM運行時加載，這兩種不同的加載模式會使用不同的入口函數(shù)，如果需要在目標(biāo)JVM啟動的同時加載Agent，那么可以選擇實現(xiàn)下面的方法：

public static void premain(String agentArgs, Instrumentation inst);
public static void premain(String agentArgs);
復(fù)制代碼

在premain函數(shù)中，我們可以對字節(jié)碼進(jìn)?操作，織?Rasp的安全探針。

public static void premain(String agentArgs, Instrumentation inst)
        throws ClassNotFoundException, UnmodifiableClassException {
    inst.addTransformer(new ClassTransformer());
}
復(fù)制代碼

借助ClassFileTransformer接口，實現(xiàn)對字節(jié)碼的修改，定義一個類，實現(xiàn)ClassFileTransformer接口，并重寫transform方法，在這個方法中，通過 ASM 技術(shù)修改字節(jié)碼。

public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined,
                        ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
    byte[] transformeredByteCode = classfileBuffer;

    if (Config.moudleMap.containsKey(className)) {
        try {
            ClassReader reader = new ClassReader(classfileBuffer);
            ClassWriter writer = new ClassWriter(ClassWriter.COMPUTE_MAXS);
            ClassVisitor visitor = Reflections.createVisitorIns((String) Config.moudleMap.get(className).get("loadClass"), writer, className);
            reader.accept(visitor, ClassReader.EXPAND_FRAMES);
            transformeredByteCode = writer.toByteArray();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    return transformeredByteCode;
}
復(fù)制代碼

簡單的原理就是這樣的，因為篇幅優(yōu)先就不在這里展開太多了，大家如果感興趣的話，可以看一下（github.com/xbeark/java… ）這個開源項目，這是我的一個阿里同事搞的一個簡單的 RASP Demo，里面包含了一些REC、SQL 注入等的防護(hù)：