不止防JSON技术绕过，RASP相比WAF的七大技术优势

近日，“五大厂商热门WAF可遭JSON技术绕过”的话题在业内传得沸沸扬扬，事件大致情况为，五家领先供应商销售的Web应用防火墙 (WAF) 在检查SQL注入语法中不支持JSON语法的检查，可被轻松绕过。

据事件透露的情况来看，有一个恶意的SQLi有效负载，包含JSON语法，WAF并没有将请求标记为恶意请求并进行拦截。可见，只需在请求的开头加上简单的JSON语法，就能够在云上使用SQLi 漏洞泄露敏感信息。换句话说，SQL注入可通过JSON格式特殊字符的转义后轻松绕过WAF从而攻击业务系统。

“安全门卫”WAF

Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF的基本原理是利用服务器API去获取应用层数据，然后匹配自己的规则库，利用正则表达式来分析判断数据的合法性，生成白名单、黑名单，最后进行访问控制。

WAF的优点是可以进行流量告警，WAF通常的安装方式是将WAF串行部署在Web服务器前端，用于检测、阻断异常流量，对全流量进行分析。

但是WAF的缺点更让企业头痛，易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。除了开篇提到的WAF被绕过的案例，WAF的绕过手段还有很多，比如：

• 大小写：诸如UnIOn SeleCT

• 特殊符号：奇奇怪怪的符号，甚至是表情符号

• 注释符号：/**/、#、/*!select*/等等…

知道了WAF的基本原理也就很好理解WAF为什么容易被绕过，因为WAF的防护需要匹配自己的规则库，而攻击者只需要通过一些简单的变形，就可轻松绕过WAF的规则库。同时WAF进行全流量的检测，经常会把正常流量误认为恶意流量进行误报，影响正常业务。那么现在市场上有没有新的技术可以解决WAF的困境？近两年兴起了一项新技术，“Runtime application self-protection”，让应用程序通过实时识别和阻止攻击来保护自己，即运行时应用程序自我保护技术，简称RASP。

“贴身保镖”RASP

2014年，Gartner引入了“Runtime application self-protection”一词，它是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，与应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力。

RASP通过在应用程序的字节码中动态插桩检测“探针”，来获取应用程序各种运行时的上下文信息，在应用程序运行时，利用当前上下文信息实时保护应用。

将WAF和RASP进行对比，WAF很像一个门卫，而RASP相当于应用程序的贴身保镖，深处应用程序内部，无论攻击怎么变形，在最后实施攻击时，RASP就会实时监测进行防护。任你千路来，我只一路去。

例如SQL注入，无论是前端页面输入的SQL注入，还是JSON数据格式转换变形后的SQL注入，只要最后的查询语句存在注入攻击，RASP会在应用程序代码层级进行最后防护并阻断请求，将检测到的攻击事件展示在RASP管理后台，支持攻击事件的多维度展示：可以提供代码、HTTP请求、数据流、URL等问题点信息，同时提供定位、修复和建议。

开源网安RASP的优势

开源网安实时应用自我防护平台（RASP），采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。针对互联网企业和分布式应用项目，RASP平台的部署效率与防护效果更加明显，其优势如下：

• 准确率高：RASP技术是以探针的形式插桩在应用程序字节码中，获取程序运行时上下文信息进行组合，所以基本不存在绕过漏报的可能；

• 误报率低：RASP可以明确知道攻击和合法信息请求之间的区别，这使得RASP的误报率极低，不会影响正常业务运行；

• 维护成本低：RASP的技术特征是深处应用内部，无感知自动保护应用程，所以多数情况下只需初始的安装部署及防御策略的配置，无需额外的人工干预；

• 智能应对0Day攻击：可以在几秒钟内快速创建和部署虚拟补丁，在数小时内将保护标准化为0day防御方案；

• 常见攻击检测：支持多种攻击检测与展示，其中包括逻辑漏洞攻击、内容防护、IP黑白名单、Webshell防护等；

• 灵活度高：适用不同的个性化业务场景，根据企业的业务需求可制定自己的防护策略；

• 多维度防护手段：多种攻击检测、应用加固、安全基线检查、第三方库检测等。