安装测试用例

为了验证OpenRASP的漏洞检测效果,或者IAST工具的漏洞检测能力,我们提供了多个测试用例,覆盖常见高危漏洞。测试用例的部署也非常简单,复制到 webroot/webapps 目录即可。

下载测试用例

常用镜像:

文件说明

文件名适用服务器说明
php-vulns.tar.gzPHP主要测试用例,包含十几种高危漏洞
vulns.warJava主要测试用例,包含十几种高危漏洞
S2-016.warJavaStruts S2-016 漏洞
fastjson.warJavafastjson RCE 漏洞
fastjson-1.2.60.warJavafastjson 1.2.60 RCE 漏洞
wxpay-xxe.warJava某支付系统 XXE 漏洞
CVE-2019-10173.warJavaxstream 反序列化漏洞
CVE-2019-12384.warJavajackson-databind 反序列化漏洞

安装测试用例

PHP 版本

  • 解压 php-vulns.tar.gz 到web目录,并通过浏览器访问

Java 版本

  • 复制war包到webapps目录,等待一段时间后可通过浏览器访问。若web服务器未开启war包自动解压缩功能,可能需要重启web服务器生效。

检测能力说明

请参考如下几篇文章:

用例使用说明

在每个测试用例的页面里,我们都给出了正常的请求样例,以及攻击性的请求样例。你可以点击页面上的链接触发,也可以使用 curl 命令发出请求。具体请参考实际的页面:

blocked

攻击拦截说明

当攻击被拦截,OpenRASP 会显示特定的拦截页面,以及当前 Request ID,事后可根据这个ID去搜索对应的攻击日志。如果你发现 OpenRASP 无法拦截攻击,很有可能是安装没有成功,请参考 常见安装问题 文档进行排查,并检查应用启动日志是否有错误,e.g catalina.out

值得注意的是,默认我们不开启拦截,需要你关闭 系统设置 -> 防护设置 -> 将所有算法设置为「记录日志」模式 开关,保存后等待一个心跳周期生效;单机版需要参考 单机版本 - 开启拦截 修改插件,才能开启拦截。

最后,若要了解报警里有哪些字段信息,请查看 日志说明 文档。

blocked

FAQ

1. SpringBoot 如何安装 JSP 测试用例?

请参考 仰望星空 - springboot中使用jsp 这篇文章进行操作。