云控后台接口文档
接口描述
请求格式 :
请求体采用 json 格式,分页页码从 1 开始计数,分页请求格式如下所示:
{
"page":1,
"perpage":10,
"data":{
"version":"official-101"
}
}
分页参数说明 :
参数 | 说明 |
---|---|
page | 页码 |
perpage | 状态描述 |
data | 具体请求参数 |
响应格式 :
响应采用 json 格式,示例如下:
{
"page": 1,
"perpage": 10,
"total": 1,
"total_page": 1,
"status":0,
"description":"ok",
"data":{
"version":"official-101"
}
}
参数说明:
参数 | 说明 |
---|---|
page | 当前页码 |
perpage | 当前每页数量 |
total | 数据共有多少条 |
total_page | 数据共有多少页 |
status | 响应状态码,0 代表成功,非 0 代表有异常 |
description | 请求结果描述,如果 status 为 0 则为 ok,否则为异常信息 |
data | 请求结果具体数据 |
接口类型 :接口分为两类,一类是为前端服务的前端接口,另一类是为 RASP Agent 服务的 Agent 接口,具体接口格式如下文所示。
Ping 接口
描述 :用来测试后台联通性的通用接口
请求方法 :GET,POST
路径 :v1/ping
请求体 :空
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
前端接口
认证方式
认证方式分为两种:
- 登陆之后获取 cookie 认证,cookie字段为 RASP_AUTH_ID,cookie有效期默认 7 天。
- 通过在请求头中添加静态 token 进行认证,请求头字段为 X-OpenRASP-Token,具体的 token 管理方式,参照下文 token 管理接口。
登录登出接口
登录接口
描述 :登录接口,初始管理后台用户名:openrasp
,密码:admin@123
,登陆成功设置登录 cookie
请求方法 :POST
路径 :v1/user/login
请求体 :
{
"username":"openrasp",
"password":"admin@123"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
username | String | 是 | 用户名 |
password | String | 是 | 密码 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
登出接口
描述 : 退出登录状态,清空 cookie
请求方法 :GET
路径 :v1/user/logout
请求体 :无
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
获取是否登录
描述 : 获取当前是否为登录状态
请求方法 :GET
路径 :v1/user/islogin
请求体 :无
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
默认密码判断接口
描述 : 判断当前用户密码是否为默认密码,用于给前端提供是否需要修改密码的提醒
请求方法 :GET,POST
路径 :v1/user/default
请求体 :无
返回结果 :
{
"data": {
"is_default":true,
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
is_default | 是否为默认密码,如果是则为 true,否则为false |
更改密码接口
描述 :更改管理员密码,密码长度 8~50 个字节,必须同时包含字母和数组
请求方法 :POST
路径 :v1/user/update
请求体 :
{
"old_password":"admin@123",
"new_password":"admin*123"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
old_password | String | 是 | 旧密码 |
new_password | String | 是 | 新密码 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
插件管理接口
上传插件
描述 :上传文件为 .js 结尾的插件文件,插件版本在文件第一行,插件名称在插件的第二行
请求方法 :POST
路径 :v1/api/plugin?app_id=c593342c72eb78fc8e7393d0a87b8f3fc54dfbec
请求体 : form data 格式的文件参数,参数名称 plugin
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
plugin | file | 是 | 插件文件,form-data 格式 |
返回结果 :
{
"data": {
"id": "c593342c72eb78fc8e7393d0a87b8f3fc54dfbec8835250641a6dbd9973ae981b4b7abc4",
"app_id": "c593342c72eb78fc8e7393d0a87b8f3fc54dfbec",
"upload_time": 1542177395622,
"version": "'2018-1025-1600'",
"name": "official",
"md5": "8835250641a6dbd9973ae981b4b7abc4",
"plugin": "/*js plugin content*/",
"algorithm_config": {
"command_other": {
"action": "log"
},
"command_reflect": {
"action": "block"
},
"fileUpload_multipart_script": {
"action": "block"
},
"fileUpload_webdav": {
"action": "block"
}
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
id | 插件唯一标识 |
app_id | 插件所属的 APP |
upload_time | 上传时间的时间戳 |
version | 插件版本 |
name | 插件名称 |
md5 | 插件内容校验和 |
algorithm_config | 插件内的算法配置 |
plugin | 插件内容 |
下载插件
描述 :根据插件 id 下载插件
请求方法 :GET
路径 :v1/api/plugin/download?id=47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382
请求体 : 无
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | 插件唯一标识 |
返回结果 :插件文件,文件名称为 {NAME}-{VERSION}.js,{VERSION} 为插件版本,{NAME}为插件名称
获取插件基本信息
描述 :根据插件 id 获取插件
请求方法 :POST
路径 :v1/api/plugin/get
请求体 :
{
"id":"47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | 插件唯一标识 |
返回结果 :
{
"data": {
"id": "7c70d5ba5547e77a6f9ad5d376b92fe7e47da7c4",
"app_id": "fcbc4d8ac6bcaac27b1cc4703e5339a4aa6e8a1c",
"name": "official",
"upload_time": 1546595795342,
"version": "2018-1227-1200",
"md5": "4259002c18ff3a9f40b44e91824ba0cf",
"algorithm_config": {
"xxe_file": {
"action": "log",
"name": "算法2 - 使用 file:// 协议读取文件",
"reference": "https://rasp.baidu.com/doc/dev/official.html#case-xxe"
},
"xxe_protocol": {
"action": "block",
"name": "算法1 - 使用 ftp:// 等异常协议加载外部实体",
"protocols": ["ftp", "dict", "gopher", "jar", "netdoc"]
}
... 忽略
}
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
id | 插件唯一标识 |
app_id | 插件所属的 APP |
upload_time | 上传时间的时间戳 |
version | 插件版本 |
name | 插件名称 |
md5 | 插件内容校验和 |
algorithm_config | 插件内的算法配置 |
下发算法配置
描述 :给插件下发插件算法开关配置,下发的算法配置会合并到插件中
请求方法 :POST
路径 :v1/api/plugin/algorithm/config
请求体 :
{
"id":"47af9da31ec3f233f35a25776f5e06086ebf239f3f35a25776f5e06086ebf239f",
"config":{
"xxe_file": {
"action": "log",
"name": "算法2 - 使用 file:// 协议读取文件",
"reference": "https://rasp.baidu.com/doc/dev/official.html#case-xxe"
},
"xxe_protocol": {
"action": "block",
"name": "算法1 - 使用 ftp:// 等异常协议加载外部实体",
"protocols": ["ftp", "dict", "gopher", "jar", "netdoc"]
}
... 忽略
}
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | 插件唯一标识 |
config | object | 是 | 算法配置 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
恢复插件默认算法配置
描述 :根据插件 id 恢复插件最开始的默认算法配置
请求方法 :POST
路径 :v1/api/plugin/algorithm/restore
请求体 :
{
"id":"47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | 插件唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
删除插件
描述 :根据插件 id 删除插件,无法删除被选中的插件
请求方法 :POST
路径 :v1/api/plugin/delete
请求体 :
{
"id":"47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | 插件唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
App管理接口
新增 APP
描述 :新增一个 APP
请求方法 :POST
路径 :v1/api/app
请求体 :
{
"name":"Java 测试",
"language":"java",
"description":"openrasp protected",
"selected_plugin_id":"47af9da31ec3f233f35a25776f5e0608w6ebf239ff60a021ada4750b65640d0d24b9ae382"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
name | String | 是 | APP 名称,名称不能重复 |
language | String | 是 | APP 业务语言 |
description | String | 否 | APP 描述信息 |
selected_plugin_id | String | 否 | APP 下发的插件 |
返回结果 :
{
"data": {
"id": "1107158fb4cd0a901de850b2c64fab5faf0837d3",
"name": "Java 测试",
"language":"java",
"create_time":1545984191,
"secret":"SFklSJ5_DF125IKn15SDF-1SD141Af1",
"description": "openrasp protected",
"config_time": 0,
"general_config": {
"block.content.html": "</script><script>\n location.href=\"https://rasp.baidu.com/blocked2/?request_id=%request_id%\"\n </script>",
"block.content_json": "{\"error\":true,\"reason\": \"Request blocked by OpenRASP\",\"request_id\": \"%request_id%\"}",
"block.content_xml": "<?xml version=\"1.0\"?>\n\t\t\t\t\t\t\t <doc>\n\t\t\t\t\t\t\t <error>true</error>\n\t\t\t\t\t\t\t <reason>Request blocked by OpenRASP</reason>\n\t\t\t\t\t\t\t <request_id>%request_id%</request_id>\n\t\t\t\t\t\t\t </doc>",
"block.redirect_url": "https://rasp.baidu.com/blocked/?request_id=%request_id%",
"block.status_code": 302,
"body.maxbytes": 4096,
"clientip.header": "ClientIP",
"ognl.expression.minlength": 30,
"plugin.filter": true,
"plugin.maxstack": 100,
"plugin.timeout.millis": 100
},
"whitelist_config": {},
"selected_plugin_id": "",
"email_alarm_conf": {
"enable": false,
"tls_enable": false,
"server_addr": "",
"username": "",
"password": "",
"subject": "",
"recv_addr": []
},
"ding_alarm_conf": {
"enable": false,
"agent_id": "",
"corp_id": "",
"corp_secret": "",
"recv_user": [],
"recv_party": []
},
"http_alarm_conf": {
"enable": false,
"recv_addr": []
},
"attack_type_alarm_conf":null,
"algorithm_config":{}
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
id | APP 唯一标识 |
name | APP 名称 |
description | APP 描述信息 |
language | APP 使用的编程语言 |
create_time | APP 创建时间 |
secret | APP 秘钥,用于和 RASP 通信认证 |
config_time | 上一次下发 RASP 相关配置的时间 |
general_config | 通用配置,用于给 RASP 下发 |
whitelist_config | 拦截白名单配置,用于给 RASP 下发 |
selected_plugin_id | 被选中下发的插件 id |
email_alarm_conf | email 报警配置 |
ding_alarm_conf | 钉钉报警配置 |
http_alarm_conf | http 报警配置 |
attack_type_alarm_conf | 如果没有该配置,那么将会按照所有攻击类型会触发所有的报警方式,配置中的 key 是攻击类型,value 是该类型会触发的报警方式的列表,目前报警方式包括 ding,http,email |
algorithm_config | app 当前选中插件的算法配置 |
删除 APP
描述 :删除一个 APP ,同时删除该 APP 下所有的 RASP 和插件,当仅剩一个 APP 无法删除,至少保留一个 APP,无法删除还存在在线 RASP 的 APP
请求方法 :POST
路径 :v1/api/app/delete
请求体 :
{
"id":"a8604735911f1866029401c6766ba87f685ff037"
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
获取 App
描述 :获取所有App,或某一个 id 的 app,如果参数中有 id 参数,则返回相应id的 app,如果没有 id 参数,则需要 page 和 perpage 参数来做分页,返回相应数量的 APP 数组
请求方法 :POST
路径 :v1/api/app/get
请求体 :
获取相应 id APP
{
"app_id":"569e8ea7a16123492b5878920fd36985"
}
获取一定数量 APP
{
"page":1,
"perpage":10
}
参数说明:
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 否 | APP 唯一标识,有该参数则返回相应 id 的 APP |
page | int | 否 | 分页页码 |
perpage | int | 否 | 每页数据条数 |
返回结果 :
返回相应 id APP
{
"status":0,
"description":"ok",
"data":{
"id":"569e8ea7a16123492b5878920fd36985"
"name":"Java 测试",
"description":"openrasp protected",
"config_time":155536548555,
"create_time":154598419100,
"language":"java",
"general_config":{
"plugin.timeout.millis":500,
"security.enforce_policy":true,
...
}
...
}
}
返回一定数量 APP
{
"status":0,
"description":"ok",
"page": 1,
"perpage": 10,
"total": 1,
"total_page": 1,
"data":[
{
"id":"569e8ea7a16123492b5878920fd36985"
"name":"Java 测试",
"description":"openrasp protected",
"config_time":155536548555,
"create_time":154598419100,
"language":"java",
"general_config":{
"plugin.timeout.millis":500,
"security.enforce_policy":true,
...
}
}
]
}
下发通用配置
描述 :给 app 下发 rasp 通用配置
请求方法 :POST
路径 :v1/api/app/general/config
请求体 :
{
"app_id":"47af9da31ec3f233f35a25776f5e06086ebf239f",
"config":{
"block.content_html": "</script><script>location.href="https://rasp.baidu.com/blocked2/?request_id=%request_id%"</script>",
"block.content_json": "{"error":true,"reason": "Request blocked by OpenRASP","request_id": "%request_id%"}",
"block.content_xml": "<?xml version="1.0"?><doc><error>true</error><reason>Request blocked by OpenRASP</reason><request_id>%request_id%</request_id></doc>",
"block.redirect_url": "https://rasp.baidu.com/blocked/?request_id=%request_id%",
"block.status_code": 403,
"body.maxbytes": 4096,
"clientip.header": "ClientIP",
"ognl.expression.minlength": 30,
"plugin.filter": true,
"plugin.maxstack": 100,
"plugin.timeout.millis": 100,
"syslog.tag": "OpenRASP",
"syslog.url": "",
"syslog.facility": 1,
"syslog.enable": false,
}
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
config | object | 是 | 通用配置完整内容 |
返回结果 :返回更新之后的完整 APP 信息
下发白名单配置
描述 :给 app 下发 rasp 白名单配置
请求方法 :POST
路径 :v1/api/app/whitelist/config
请求体 :
{
"app_id":"e64071cf900944b701213a6f17d36e0d18d8b6ab",
"config":[
{
"url":"www.asod.com/sss/sss",
"hook":{
"sql":true,
"ssrf":false
}
}
]
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
config | object | 是 | 白名单配置完整内容 |
返回结果 :返回更新之后的完整 APP 信息
下发报警配置
描述 :给 app 下发报警配置
请求方法 :POST
路径 :v1/api/app/alarm/config
请求体 :
{
"app_id":"47af9da31ec3f233f35a25776f5e06086ebf239f",
"attack_type_alarm_conf":{
"sql":["email","ding","http"],
"xxe":["email"]
},
"email_alarm_conf": {
"enable":false,
"tls_enable":false,
"server_addr":"email.qq.com:445",
"username":"123456789@qq.com",
"password":"4354edfwe",
"subject":"openrasp alarm",
"recv_addr":["165165@163.com"]
},
"ding_alarm_conf": {
"enable":false,
"agent_id":"1s6ef5w1ef6",
"corp_id":"1r5thnb5",
"corp_secret":"d512c5f5fg546sdg5",
"recv_user":["5sdf5","87njy7uoi"],
"recv_party":["8ik44ws"]
},
"http_alarm_conf": {
"enable":false,
"recv_addr":["www.opff.com"]
}
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
attack_type_alarm_conf | Object | 否 | 如果没有该配置,那么将会按照所有攻击类型会触发所有的报警方式,配置中的 key 是攻击类型,value 是该类型会触发的报警方式的列表,目前报警方式包括 ding,http,email |
email_alarm_conf | Object | 否 | 邮件报警配置 |
ding_alarm_conf | Object | 否 | 钉钉报警配置 |
http_alarm_conf | Object | 否 | http 报警配 |
email_alarm_conf.enable | bool | 否 | email 报警开关,默认 false |
email_alarm_conf.tls_enable | bool | 否 | 是否打开 邮件 tls 认证,默认 false |
email_alarm_conf.server_addr | String | 是 | 邮件服务器地址 |
email_alarm_conf.username | String | 否 | 邮件账号用户名 |
email_alarm_conf.password | String | 否 | 邮件账号密码 |
email_alarm_conf.subject | String | 否 | 邮件主题 |
email_alarm_conf.recv_addr | String Array | 是 | 邮件报警发送的邮件地址 |
ding_alarm_conf.enable | bool | 否 | 钉钉报警开关,默认 false |
ding_alarm_conf.agent_id | String | 是 | 钉钉报警应用 Agent ID |
ding_alarm_conf.corp_id | String | 是 | 钉钉报警的企业 ID |
ding_alarm_conf.corp_secret | String | 是 | 钉钉报警的企业秘钥 |
ding_alarm_conf.recv_user | String Array | 否 | 钉钉报警接收的用户列表,列表每个元素是一个用户的ID,不能和 recv_party 参数同时为空 |
ding_alarm_conf.recv_party | String Array | 否 | 钉钉报警接收的部门列表,列表每个元素是一个部门的ID,不能和 recv_user 参数同时为空 |
http_alarm_conf.enable | String | 否 | HTTP 报警推送开关,默认false |
http_alarm_conf.recv_addr | String Array | 是 | HTTP 报警接收地址列表 |
返回结果 :返回更新之后的完整 APP 信息
APP 配置接口
描述 :下发 APP 配置,用于配置 APP 名称,语言和描述信息
请求方法 :POST
路径 :v1/api/app/config
请求体 :
{
"app_id":"47af9da31ec3f233f35a25776f5e06086ebf239f",
"name":"myapp",
"language":"php",
"description":"php应用"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
name | String | 是 | APP 名称 |
language | String | 是 | APP 使用的编程语言 |
description | String | 否 | APP 描述信息 |
返回结果 :返回更新之后的完整 APP 信息
获取 APP 下的所有插件
描述 :根据 APP ID 获取所有的插件内容
请求方法 :POST
路径 :v1/api/app/plugin/get
请求体 :
{
"app_id":"47af9da31ec3f233f35a25776f5e06086ebf239f",
"page":1,
"perpage":15
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
page | int | 是 | 页码 |
perpage | int | 是 | 单页数量 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 15,
"total": 2,
"total_page": 1,
"data": [
{
"id": "47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382",
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"upload_time": 1540992061040,
"version": "2018-1016-1000",
"md5": "f60a021ada4750b65640d0d24b9ae382"
...
},
{
"id": "47af9da31ec3f233f35a25776f5e06086ebf239f914450bbf9309777723f38facfa8183f",
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"upload_time": 1540979046327,
"version": "2018-1016-0000",
"md5": "914450bbf9309777723f38facfa8183f"
...
}
]
},
"description": "ok",
"status": 0
}
获取 APP 下发的插件
描述 :获取 APP 当前选中的插件,该插件会下发给 APP 下的 RASP
请求方法 :POST
路径 :v1/api/app/plugin/select/get
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {
"id": "47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382",
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"upload_time": 1540985045544,
"version": "2018-1016-1000",
"md5": "f60a021ada4750b65640d0d24b9ae382"
...
},
"description": "ok",
"status": 0
}
设置 APP 下发的插件
描述 :设置 APP 下发给 RASP 的插件
请求方法 :POST
路径 :v1/api/app/plugin/select
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"plugin_id":"47af9da31ec3f233f35a25776f5e06086ebf239ff60a021ada4750b65640d0d24b9ae382"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
plugin_id | String | 是 | 插件唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
测试邮件报警
描述 :测试邮件报警
请求方法 :POST
路径 :v1/api/app/email/test
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
测试钉钉报警
描述 :测试钉钉报警
请求方法 :POST
路径 :v1/api/app/ding/test
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
测试 HTTP 报警
描述 :测试 HTTP 报警
请求方法 :POST
路径 :v1/api/app/http/test
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {},
"description": "ok",
"status": 0
}
获取插件更新信息
描述 :如果当前插件是官方插件的话,判断当前下发插件是否为最新官方插件,如果不是返回当前下发插件和最新插件的版本信息
请求方法 :POST
路径 :v1/api/app/plugin/latest
请求体 :
{
"app_id": "47af9da31ec3f233f35a25776f5e06086ebf239f"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
返回结果 :
{
"data": {
"is_latest": false,
"selected_version": "2019-0606-1802",
"latest_version": "2019-0606-1803"
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
is_latest | 当前下发插件是否为最新版本 |
selected_version | 当前下发的插件版本 |
latest_version | 最新插件版本 |
RASP管理接口
搜索 RASP
描述 :按照条件搜索 RASP
请求方法 :POST
路径 :v1/api/rasp/search
请求体 :
{
"page":1,
"perpage":10,
"data": {
"id": "426199dc7a15cce89b0c937a65a24a23",
"app_id": "fcbc4d8ac6bcaac27b1cc4703e5339a4aa6e8a1c",
"version": "1.0.0-RC1",
"hostname": "820c2691f452",
"register_ip": "172.17.0.2",
"language": "java",
"language_version": "1.7.0_17",
"server_type": "tomcat",
"server_version": "7.0.78.0",
"rasp_home": "/tomcat/rasp",
"plugin_version": "2018-1227-1200",
"heartbeat_interval": 180,
"online": false,
"register_time": 1546595808,
"host_type": "docker"
}
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 否 | RASP 唯一标识 |
app_id | String | 否 | 所属的 APP 的 ID |
version | String | 否 | RASP 版本 |
hostname | String | 否 | RASP 所在的主机名,该字段支持模糊搜索,并同时搜索 hostname 和 register_ip 字段 |
register_ip | String | 否 | RASP 访问云控后台所使用的 IP 地址 |
language | String | 否 | 编程语言 |
language_version | String | 否 | 语言版本 |
server_type | String | 否 | 服务器类型 |
server_version | String | 否 | 服务器版本 |
rasp_home | String | 否 | RASP 安装目录 |
plugin_version | String | 否 | 插件版本 |
heartbeat_interval | int | 否 | 心跳间隔时间,单位:秒 |
online | bool | 否 | 是否在线 |
register_time | int | 否 | 注册时间,毫秒时间戳 |
host_type | String | 否 | rasp 所在的主机类型 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 2,
"total_page": 1,
"data": [
{
"id": "426199dc7a15cce89b0c937a65a24a23",
"app_id": "fcbc4d8ac6bcaac27b1cc4703e5339a4aa6e8a1c",
"version": "1.0.0-RC1",
"hostname": "820c2691f452",
"register_ip": "172.17.0.2",
"language": "java",
"language_version": "1.7.0_17",
"server_type": "tomcat",
"server_version": "7.0.78.0",
"rasp_home": "/tomcat/rasp",
"plugin_version": "2018-1227-1200",
"heartbeat_interval": 180,
"online": false,
"last_heartbeat_time": 1546597790,
"register_time": 1546595808,
"host_type": "docker",
"environ": {
"COLORTERM": "gnome-terminal",
"DISPLAY": ":0",
}
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
id | RASP 唯一标识 |
app_id | 所属的 APP 的 ID |
version | RASP 版本 |
hostname | RASP 所在的主机名,该字段支持模糊搜索,并同时搜索 hostname 和 register_ip 字段 |
register_ip | RASP 访问云控后台所使用的 IP 地址 |
language | 编程语言 |
server_type | 服务器类型 |
server_version | 服务器版本 |
rasp_home | RASP 安装目录 |
plugin_version | 插件版本 |
heartbeat_interval | 心跳间隔时间,单位:秒 |
online | 是否在线 |
last_heartbeat_time | 上次心跳时间,毫秒时间戳 |
register_time | 注册时间,毫秒时间戳 |
host_type | 主机类型,例: docker |
environ | 进程环境变量 |
导出 RASP
描述 :按条件搜索 rasp,并把搜索结果导出到 csv 文件,app_id 字段为必选,剩余搜索条件为可选
请求方法 :GET
路径 :v1/api/rasp/csv?app_id=eaGdr22DfthDz51JHF65sd
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | 所属的 APP 的 ID |
返回结果 : csv 文件
删除 RASP
描述 :删除指定条件的 RASP,在线的 rasp 不允许删除,当参数中存在 id,删除指定 id 的 rasp 并忽略其他参数
请求方法 :POST
路径 :v1/api/rasp/delete
请求体 :
{
"app_id":"94892d14c8f1dfcedb63af258cc008929c3ef4f5",
"id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"register_ip":"126.23.3.63",
"expire_time": 604800,
"host_type": "docker"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
id | String | 否 | RASP 唯一标识 |
register_ip | String | 否 | 注册 ip |
expire_time | int | 否 | 单位/秒,删除超时时间超过该值的 rasp |
host_type | String | 否 | rasp 所在的主机类型 |
返回结果 :
{
"data": {
"count":1
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
count | 删除 RASP agent 数量 |
批量删除 RASP
描述 :根据 rasp id 批量删除rasp
请求方法 :POST
路径 :v1/api/rasp/batch_delete
请求体 :
{
"app_id":"94892d14c8f1dfcedb63af258cc008929c3ef4f5",
"ids": [
"47af9da31ec3f233f35a25776f5e06086ebf239f",
"d64g58d4gc3fs58745sdfgd5g5s7f54e5f4s585s",
"net1d5ns8bad6584thg1s5dnbs8gbs8af5RFG415"
]
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | APP 唯一标识 |
ids | String Array | 是 | RASP 唯一标识列表 |
返回结果 :
{
"data": {
"count":1
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
count | 删除 RASP agent 数量 |
RASP 备注接口
描述 :给指定 id 的 rasp 添加或者修改备注信息
请求方法 :POST
路径 :v1/api/rasp/describe
请求体 :
{
"id": "47af9da31ec3f233f35a25776f5e06086ebf239f",
"description": "this is a description"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | RASP 唯一标识 |
description | String | 是 | 描述信息 |
返回结果 :
{
"data": {
},
"description": "ok",
"status": 0
}
静态Token管理接口
生成/更新 token
描述 :当有 token 参数为更新,否则为新增 token
请求方法 :POST
路径 :v1/api/token
请求体 :
新增token:
{
"description":"xxx 认证 token"
}
更新token:
{
"token":"44b2b50665c9f11c73090b19c3dd787031611e80",
"description":"啄木鸟微服务认证token"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
token | String | 是 | token 内容 |
description | String | 否 | token 描述 |
返回结果 :
{
"data": {
"token": "44b2b50665c9f11c73090b19c3dd787031611e80",
"description": "扫描器"
},
"description": "ok",
"status": 0
}
获取 token
描述 :获取一定数量的 token 信息
请求方法 :POST
路径 :v1/api/token/get
请求体 :
{
"page":1,
"perpage":10
}
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 5,
"total_page": 1,
"data": [
{
"token": "349532e57aa36ee9b72a62fec8907109a016f348",
"description": "a token"
},
{
"token": "f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"description": "b token"
}
]
},
"description": "ok",
"status": 0
}
删除token
描述 :删除 token
请求方法 :POST
路径 :v1/api/token/delete
请求体 :
{
"token":"f284baaeb786a8285bd1dde04a3dd7502c766c8a"
}
返回结果 :
{
"data": {
},
"description": "ok",
"status": 0
}
操作日志接口
搜索操作日志
描述 :搜索操作日志
请求方法 :POST
路径 :v1/api/operation/search
请求体 :
{
"data":{
"id": "389fdbeb0aceb154d5d5d26eba28fea9f402c945",
"type_id": 1010,
"app_id": "e64071cf900944b701213a6f17d36e0d18d8b6ab",
"user": "admin",
"ip": "127.0.0.1"
},
"start_time":1,
"end_time":1542807647000,
"page":1,
"perpage":15
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
data | String | 是 | 所有支持搜索的字段,data 中所有字段皆为可选 |
start_time | int | 是 | 操作日志的开始时间,毫秒时间戳 |
end_time | int | 是 | 操作日志的结束时间,毫秒时间戳 |
返回结果 :
{
"data": {
"data": [
{
"id": "389fdbeb0aceb154d5d5d26eba28fea9f402c945",
"type_id": 1010,
"app_id": "e64071cf900944b701213a6f17d36e0d18d8b6ab",
"time": 1542807647000,
"user": "admin",
"content": "uploaded the plugin: ba41c57afab600c39dba7398987b159d648d0836",
"ip": "127.0.0.1"
}
],
"page": 1,
"perpage": 15,
"total": 1,
"total_page": 1
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
id | 操作日志唯一标识 |
app_id | 所属的 APP 的 ID |
type_id | 日志类型 |
time | 操作时间 |
user | 操作人 |
content | 操作内容 |
ip | 操作请求发起者相对于云控后台的 IP |
服务器管理接口
获取服务器 url
描述 :获取 panel 和 agent 服务器的 url 地址
请求方法 :POST
路径 :v1/api/server/url/get
参数 :无
返回结果 :
{
"data":{
"panel_url":"126.56.23.5:8086",
"agent_url":[
"126.56.23.5:8086",
"10.23.36.122:8086",
"172.23.233.192:8086"
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
panel_url | 前端 server url 访问地址 |
agent_url | agent server 访问地址列表 |
更改服务器地址
描述 :更改 panel 和 agent 服务器的访问地址
请求方法 :POST
路径 :v1/api/server/url
请求体 :
{
"panel_url":"126.56.23.5:8086",
"agent_urls":[
"126.56.23.5:8086",
"10.23.36.122:8086",
"172.23.233.192:8086"
]
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
panel_url | String | 是 | 前端 server url 访问地址 |
agent_url | String Array | 否 | agent server 访问地址列表 |
返回结果 :
{
"data":{
"panel_url":"126.56.23.5:8086",
"agent_urls":[
"126.56.23.5:8086",
"10.23.36.122:8086",
"172.23.233.192:8086"
]
},
"description": "ok",
"status": 0
}
请求统计接口
请求统计信息聚合
描述 :按照时间聚合 RASP 上传的请求统计数据
请求方法 :POST
路径 :v1/api/report/dashboard
请求体 :
{
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":1523264521321212,
"end_time":1523267821321000,
"interval":"hour",
"time_zone":"+08:00"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | 需要聚合的 APP |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
interval | String | 是 | 聚合粒度,hour小时,month月,day天 |
time_zone | String | 是 | 聚合使用的时区 |
返回结果 :
{
"data":[
{
"start_time":1523264521321212,
"request_sum":10000
},
{
"start_time":1523264521340000,
"request_sum":87
}
],
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
start_time | 开始时间 |
request_sum | RASP 处理的请求数量 |
报警接口
为了降低 es 压力,所有报警接口起止时间不能超过 366 天,聚合接口 size 不能超过1024
按照时间聚合攻击日志
描述 :按照时间聚合攻击数据
请求方法 :POST
路径 :v1/api/log/attack/aggr/time
请求体 :
{
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":1535600036000,
"end_time":1546140836000,
"interval":"month",
"time_zone":"+08:00"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | 需要聚合的 APP |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
interval | String | 是 | 聚合粒度,hour小时,month月,day天 |
time_zone | String | 是 | 聚合使用的时区 |
返回结果 :
{
"data": {
"data": [
[
0,
0,
0,
1,
0
],
[
0,
0,
0,
0,
0
]
],
"labels": [
1533052800000,
1535731200000,
1538323200000,
1541001600000,
1543593600000
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 聚合数据,第一个元素是 info 数据,第二个是 block 数据 |
labels | 聚合的横轴时间标签数组,每个元素都是一个毫秒时间戳 |
按照类型聚合攻击日志
描述 :按照攻击类型聚合攻击数据
请求方法 :POST
路径 :v1/api/log/attack/aggr/type
请求体 :
{
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":1535600036000,
"end_time":1546140836000,
"size":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | 需要聚合的 APP |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
size | int | 是 | 聚合的攻击类型数目 |
返回结果 :
{
"data":[
[
"sql", 156
],
[
"xxe", 156
]
],
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 聚合数据,每个数组代表一种类型,每个数组的第一个元素代表类型名称,第二个元素代表该类型的攻击数量 |
按照 UA 聚合攻击日志
描述 :按照请求 User-Agent 头聚合攻击数据
请求方法 :POST
路径 :v1/api/log/attack/aggr/ua
请求体 :
{
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":1535600036000,
"end_time":1546140836000,
"size":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 是 | 需要聚合的 APP |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
size | int | 是 | 聚合的 UA 类型数目 |
返回结果 :
{
data:[
[
"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36", 156
],
[
"Chrome/5.0 (X11; Linux x86_64) AppleWebKit/537.36", 156
]
],
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 聚合数据,每个数组代表一种类型,每个数组的第一个元素代表 UA 名称,第二个元素代表该 UA 的攻击数量 |
漏洞聚合搜索
描述 :按照漏洞聚合攻击数据(不同的栈为不同的漏洞)
请求方法 :POST
路径 :v1/api/log/attack/aggr/vuln
请求体 :
{
"data":{
"attack_type":["directory","sql"],
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":"1523264521321000",
"end_time":"1523264521421000"
}
"page":1,
"perpage":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 否 | 漏洞所属的 APP,如果有该参数,那么统计相应的 app 数据,如果没有,则统计所有的数据 |
attack_type | String Array | 否 | 攻击类型可以多选,数组为空则什么都不返回,没有该参数,或者参数为null,则不过滤此参数 |
rasp_id | String | 否 | 漏洞所属的 RASP |
server_hostname | String | 否 | 漏洞发生的机器的 hostname |
attack_source | String | 否 | 攻击来源 ip |
url | String | 否 | 攻击的 url |
intercept_state | String Array | 否 | 拦截状态,可选值:block、info,数组为空则什么都不返回,没有该参数,或者参数为null,则不过滤此参数 |
local_ip | String | 否 | 攻击的机器的 ip |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 500,
"total_page": 50,
"data":[
{
"attack_type":"directory",
"stack_md5":"1111121637821204cwwd2e52d62d0aa8",
"event_time":"2019-01-27T23:51:15+0800",
...
}
...
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 漏洞聚合结果,结果按照每个漏洞的最新的攻击时间排序,每个漏洞展示的内容都是该漏洞最新的一个攻击的内容 |
攻击报警搜索
描述 :搜索攻击日志,结果结果按照时间降序排序
请求方法 :POST
路径 :v1/api/log/attack/search
请求体 :
{
"data":{
"attack_type":["directory","sql"],
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"start_time":"1523264521321000",
"end_time":"1523264521421000"
}
"page":1,
"perpage":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 否 | 所属的 APP,如果有该参数,那么统计相应的 app 数据,如果没有,则统计所有的数据 |
attack_type | String Array | 否 | 攻击类型可以多选,数组为空则什么都不返回,没有该参数,或者参数为null,则不过滤此参数 |
rasp_id | String | 否 | 所属的 RASP |
server_hostname | String | 否 | 攻击发生的机器的 hostname 或者 IP,支持模糊搜索 |
attack_source | String | 否 | 攻击来源 ip,支持模糊搜索 |
url | String | 否 | 攻击的 url,包含搜索,支持模糊搜索 |
intercept_state | String Array | 否 | 拦截状态,可选值:block、info,数组为空则什么都不返回,没有该参数,或者参数为null,则不过滤此参数 |
local_ip | String | 否 | 攻击的机器的 ip |
request_id | String | 否 | 请求 id |
stack_md5 | String | 否 | 攻击栈的 MD5 |
plugin_message | String | 否 | 插件返回的监测信息,支持模糊搜索 |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 500,
"total_page": 50,
"data":[
{
"attack_type":"directory",
"intercept_state":"block",
"plugin_confidence":100
...
}
...
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 搜索攻击结果 |
基线报警搜索
描述 :搜索基线日志,结果结果按照时间降序排序
请求方法 :POST
路径 :v1/api/log/policy/search
请求体 :
{
"data":{
"policy_id":["3004","3003"],
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"server_hostname":"nmg01.xx.cq",
"local_ip":"172.36.2.6",
"start_time":"1523264521321000",
"end_time":"1523264521421000"
},
"page":1,
"perpage":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 否 | 所属的 APP,如果有该参数,那么统计相应的 app 数据,如果没有,则统计所有的数据 |
policy_id | int Array | 否 | 该字段可以多选,数组为空则什么都不返回,没有该参数,或者参数为null,则不过滤此参数 |
rasp_id | String | 否 | 所属的 RASP |
server_hostname | String | 否 | 机器的 hostname 或者 IP,支持模糊搜索 |
local_ip | String | 否 | 机器的 ip |
message | String | 否 | 基线报警信息,支持模糊搜索 |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 500,
"total_page": 50,
"data":[
{
"policy_id":"3004",
... // 此处省略
},
... // 此处省略
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 搜索基线结果 |
异常接口
搜索异常信息
描述 :根据条件搜索异常信息
请求方法 :POST
路径 :v1/api/log/error/search
请求体 :
{
"data":{
"app_id":"f284baaeb786a8285bd1dde04a3dd7502c766c8a",
"server_hostname":"nmg01.xx.cq",
"local_ip":"172.36.2.6",
"start_time":"1523264521321000",
"end_time":"1523264521421000"
},
"page":1,
"perpage":10
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
app_id | String | 否 | 所属的 APP,如果有该参数,那么统计相应的 app 数据,如果没有,则统计所有的数据 |
rasp_id | String | 否 | 攻击所属的 RASP 的 ID |
server_hostname | String | 否 | 机器的 hostname 或 IP ,支持模糊搜索 |
local_ip | String | 否 | 机器的 ip |
message | String | 否 | 搜索异常信息包含该值的异常日志,支持模糊搜索 |
start_time | int | 是 | 开始时间 |
end_time | int | 是 | 结束时间 |
返回结果 :
{
"data": {
"page": 1,
"perpage": 10,
"total": 500,
"total_page": 50,
"data":[
{
"message": "HTTP request to http://scloud.baidu.com:8086/v1/agent/rasp failed:",
"server_nic": [{
"name": "en0",
"ip": "172.24.182.127"
}],
"stack_trace": "sun.reflect.NativeConstructorAccessorImpl.newInstance0(NativeMethod)",
"level": "WARN",
"event_time": "2019-01-11T13:36:46+0800",
"app_id": "9b3554a97673f1f8f5c929310298037a660d3b7a",
"pid": 58353,
"server_hostname": "localhost",
"rasp_id": "3089c8d2672efd1ef5c3e322d9e8fcb1"
}
]
},
"description": "ok",
"status": 0
}
参数 | 说明 |
---|---|
data | 搜索错误日志结果 |
RASP接口
认证方式
- 增加 APP ID 请求头: X-OpenRASP-AppID: 9b3554a97673f1f8f5c929310298037a660d3b7a
- 增加 APP Secret 请求头: X-OpenRASP-AppSecret: 2wMG8K9F71CZyvlWu1CRwf7tVDVW7Ud4gxCY5X4aMzO
RASP 注册接口
描述 :注册 RASP 基本信息,如果有 id 参数,那么为更新相应的 RASP 信息,否则为新增 RASP
请求方法 :POST
路径 :v1/agent/rasp
请求体 :
{
"id":"569e8ea7a16123492b5878920fd36985",
"version" :"v3.2",
"hostname":"tyy-OptiPlex-9020",
"register_ip":"127.56.23.4",
"language" :"java",
"language_version":"8.1" ,
"server_type":"tomcat",
"server_version":"8.5.1" ,
"heartbeat_interval":60,
"rasp_home":"/home/work/tomcat8/rasp",
"host_type":"docker",
"environ":{
"JAVA_HOME":"/home/java/jdk-7.0.25"
}
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
id | String | 是 | RASP 唯一标识 |
version | String | 是 | RASP 版本 |
hostname | String | 是 | RASP 所在机器的主机名 |
register_ip | String | 是 | RASP 所在机器 IP 地址 |
language | String | 是 | RASP 使用的开发语言 |
language_version | String | 是 | RASP 使用的开发语言版本 |
server_type | String | 是 | RASP 使用的服务器种类 |
server_version | String | 是 | RASP 使用的服务器版本号 |
heartbeat_interval | int | 是 | 心跳间隔时间,单位:秒 |
rasp_home | String | 否 | RASP 安装目录 |
host_type | String | 否 | 主机类型,如 docker |
environ | String | 否 | 服务进程环境变量 |
返回结果 :
{
"status":0,
"description":"ok",
"data":{
"id":"569e8ea7a16123492b5878920fd36985",
"app_id":"023e68ea7a12564492b5878920fd630c8",
"version" :"v3.2",
"hostname":"tyy-OptiPlex-9020",
"register_ip":"127.56.23.4",
"language" :"java",
"language_version":"8.1" ,
"server_type":"tomcat",
"server_version":"8.5.1" ,
"heartbeat_interval":60,
"rasp_home" :"/home/work/tomcat8/rasp",
"last_heartbeat_time":"15425645253",
"online":true,
"host_type":"docker",
"plugin_version":"",
"plugin_name":"",
"plugin_md5":"",
"environ":{
"JAVA_HOME":"/home/java/jdk-7.0.25"
},
"register_time":"15425645253"
}
}
参数说明 :
参数 | 说明 |
---|---|
id | RASP 唯一标识 |
app_id | 所属 APP 标识 |
version | RASP 版本 |
hostname | RASP 所在机器的主机名 |
register_ip | RASP 所在机器 IP 地址 |
language | RASP 使用的开发语言 |
language_version | RASP 使用的开发语言版本 |
server_type | RASP 使用的服务器种类 |
server_version | RASP 使用的服务器版本号 |
heartbeat_interval | 心跳间隔时间,单位:秒 |
rasp_home | RASP 安装目录 |
last_heartbeat_time | 上次心跳时间,如果还没有心跳,就是注册时间 |
online | rasp 是否在线,此处该值应为 true |
host_type | 主机类型,如 docker |
plugin_version | 插件版本,注册时还没有下发插件,所以为空 |
plugin_name | 插件名称,注册时还没有下发插件,所以为空 |
plugin_md5 | 插件内容校验和,注册时还没有下发插件,所以为空 |
environ | 服务进程环境变量 |
register_time | 注册的时间戳,单位:秒 |
心跳接口
描述 :接受 RASP 向云控后台的定时心跳,如果请求参数中的 md5 和后台指定的插件 md5 不同则判定有新插件,如果配置时间小于云控后台的最后配置时间,判定有新配置,每次更新都是插件和配置的全量更新。
请求方法 :POST
路径 :v1/agent/heartbeat
请求体 :
{
"rasp_id":"47af9da31ec3f233f35a25776f5e06086ebf239f",
"plugin_md5":"47af9da31ec3f2ebf239f",
"plugin_version":"2018-08-15 11:11:12",
"config_time":1536302712000,
"hostname":"rasp-host"
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
rasp_id | String | 是 | RASP 唯一标识 |
plugin_md5 | String | 是 | 当前 RASP 的插件 MD5 |
plugin_version | String | 是 | 当前插件的版本 |
config_time | int | 否 | 后台配置的最后修改时间,如果没有该字段或者为 0,当做没有下发过配置处理,则会下发配置 |
hostname | String | 否 | 主机 hostname,用于运行时更新 |
返回结果 :
{
"status":0,
"description":"ok",
"data":{
"plugin":{
"version":"2018-08-15 11:11:12"
"md5":"569e8ea7a16123492b5878920fd36985",
"plugin":"/*javascript*/"
},
"config_time":1536303412000,
"config":{
"block.content_html": "</script><script>location.href=\"https://rasp.baidu.com/blocked2/?request_id=%request_id%\"</script>",
"block.content_json": "{\"xxxx\":\"xxxxxx\"}",
"block.content_xml": "<?xml version=\"1.0\"?><doc><error>true</error><reason>Request blocked by OpenRASP</reason><request_id>%request_id%</request_id></doc>",
"block.redirect_url": "https://rasp.baidu.com/blocked/?request_id=%request_id%",
"block.status_code": 302,
"body.maxbytes": 4096,
"clientip.header": "ClientIP",
"debug.level": 0,
"decompile.enable": true,
"inject.custom_headers": {},
"log.maxbackup": 30,
"log.maxburst": 100,
"ognl.expression.minlength": 30,
"plugin.filter": true,
"plugin.maxstack": 100,
"plugin.timeout.millis": 100,
"syslog.enable": false,
"syslog.facility": 1,
"syslog.tag": "OpenRASP",
"syslog.url": "",
"hook.white":{
"www.test.com/test1":[sql,ssrf],
"www.test.com/test2":[sql,ssrf],
"*":[all]
}
}
}
}
参数说明 :
参数 | 说明 |
---|---|
plugin | 插件内容 |
config_time | 本次下发配置的时间 |
config | 下发的配置,配置项的详细说明:https://rasp.baidu.com/doc/setup/others.html |
统计上报接口
描述 :上传 rasp 统计信息
请求方法 :POST
路径 :v1/agent/report
请求体 :
{
"rasp_id":"569e8ea7a16123492b5878920fd36985",
"time":15665422321,
"request_sum":10000
}
参数说明 :
参数 | 参数类型 | 必须 | 说明 |
---|---|---|---|
rasp_id | String | 是 | RASP 唯一标识 |
time | int | 是 | 统计时间,毫秒时间戳 |
request_sum | int | 否 | 请求数量,默认 0 |
返回结果 :
{
"status":0,
"description":"ok",
"data":{}
}
上传攻击报警日志
描述 :上传 RASP 攻击日志
请求方法 :POST
路径 :v1/agent/log/attack
请求体 :
[
{
"rasp_id":"545e8336cf5b612f358ae51ff0466476",
"app_id":"5f1b8ba39b85e2f857f6b219156470e648fd2b4f",
"server_nic": [{
"name": "cscotun0",
"ip": "172.23.232.63"
}, {
"name": "vmnet8",
"ip": "172.16.75.1"
}, {
"name": "docker0",
"ip": "172.17.0.1"
}, {
"name": "eno1",
"ip": "172.20.94.78"
}],
"event_type": "attack",
"attack_source": "127.0.0.1",
"attack_type": "command",
"plugin_name": "official",
"url": "http://127.0.0.1:8396/vulns/004-command-1.jsp?cmd\u003dcp+/etc/passwd+/tmp/",
"header": {
"cookie": "JSESSIONID\u003dF11746396310A9E88FF1C44F98B958EE; ADMINCONSOLESESSION\u003dv165dQlfGTrfpxDBdDkhTHmqVR2gYbMP57pJyRvyKsD4RcTC12N0!2052002414; JSESSIONID\u003dTkSZdRVGCnpRjYwp15dtrlnZRcFrq2q2qQ2H1fchYLstJX1BkvpF!-354254474",
"connection": "keep-alive",
"accept-language": "zh,en-US;q\u003d0.9,en;q\u003d0.8,zh-CN;q\u003d0.7",
"host": "127.0.0.1:8396",
"sec-fetch-mode": "navigate",
"accept": "text/html,application/xhtml+xml,application/xml;q\u003d0.9,image/webp,image/apng,*/*;q\u003d0.8,application/signed-exchange;v\u003db3",
"user-agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/76.0.3809.87 Chrome/76.0.3809.87 Safari/537.36",
"accept-encoding": "gzip, deflate, br",
"referer": "http://127.0.0.1:8396/vulns/004-command-1.jsp",
"sec-fetch-site": "same-origin",
"upgrade-insecure-requests": "1"
},
"server_type": "tomcat",
"client_ip": "",
"server_hostname": "tyy-work",
"source_code": "",
"request_method": "get",
"plugin_confidence": 90,
"request_id": "d65f0a1cf2e24951b3eb34ed25378e75",
"intercept_state": "block",
"server_version": "8.5.30.0",
"server_ip": "127.0.0.1",
"attack_params": {
"command": "cp /etc/passwd /tmp/",
"stack": ["java.lang.UNIXProcess.\u003cinit\u003e", "java.lang.ProcessImpl.start", "java.lang.ProcessBuilder.start", "java.lang.Runtime.exec", "java.lang.Runtime.exec", "java.lang.Runtime.exec", "org.apache.jsp._004_002dcommand_002d1_jsp._jspService", "org.apache.jasper.runtime.HttpJspBase.service", "javax.servlet.http.HttpServlet.service", "org.apache.jasper.servlet.JspServletWrapper.service", "org.apache.jasper.servlet.JspServlet.serviceJspFile", "org.apache.jasper.servlet.JspServlet.service", "javax.servlet.http.HttpServlet.service", "org.apache.catalina.core.ApplicationFilterChain.internalDoFilter", "org.apache.catalina.core.ApplicationFilterChain.doFilter", "org.apache.tomcat.websocket.server.WsFilter.doFilter", "org.apache.catalina.core.ApplicationFilterChain.internalDoFilter", "org.apache.catalina.core.ApplicationFilterChain.doFilter", "org.apache.catalina.core.StandardWrapperValve.invoke", "org.apache.catalina.core.StandardContextValve.invoke", "org.apache.catalina.authenticator.AuthenticatorBase.invoke", "org.apache.catalina.core.StandardHostValve.invoke", "org.apache.catalina.valves.ErrorReportValve.invoke", "org.apache.catalina.valves.AbstractAccessLogValve.invoke", "org.apache.catalina.core.StandardEngineValve.invoke", "org.apache.catalina.connector.CoyoteAdapter.service", "org.apache.coyote.http11.Http11Processor.service", "org.apache.coyote.AbstractProcessorLight.process", "org.apache.coyote.AbstractProtocol$ConnectionHandler.process", "org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun", "org.apache.tomcat.util.net.SocketProcessorBase.run", "java.util.concurrent.ThreadPoolExecutor.runWorker", "java.util.concurrent.ThreadPoolExecutor$Worker.run", "org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run", "java.lang.Thread.run"]
},
"plugin_message": "WebShell detected - Executing command: cp /etc/passwd /tmp/",
"path": "/vulns/004-command-1.jsp",
"target": "127.0.0.1",
"event_time": "2019-08-13T20:24:51+0800",
"plugin_algorithm": "command_userinput",
"body":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
]
参数说明 :攻击日志数组,包含多条攻击日志,日志字段说明:https://rasp.baidu.com/doc/setup/log/main.html
返回结果 :
{
"status":0,
"description":"ok",
"data":{
"count":1
}
}
参数 | 说明 |
---|---|
count | 成功处理的日志数量 |
上传基线报警日志
描述 :基线报警内容,基线报警会根据 "stack_trace,rasp_id, policy_id, policy_param “ 几个字段进行去重操作,这几个字段相同的报警只会出现一次。
请求方法 :POST
路径 :v1/agent/log/policy
请求体 :
[
{
"app_id": "fcbc4d8ac6bcaac27b1cc4703e5339a4aa6e8a1c",
"rasp_id": "426199dc7a15cce89b0c937a65a24a23",
"event_time": "2019-01-04T09:56:48+0000",
"event_type": "security_policy",
"message": "Java security baseline - should not start application server with root account",
"policy_id": "3002",
"policy_params": {
"pid": 431,
"stack":["java.lang.UNIXProcess.\u003cinit\u003e", "java.lang.ProcessImpl.start", "java.lang.ProcessBuilder.start", "java.lang.Runtime.exec", "java.lang.Runtime.exec", "java.lang.Runtime.exec", "org.apache.jsp._004_002dcommand_002d1_jsp._jspService", "org.apache.jasper.runtime.HttpJspBase.service", "javax.servlet.http.HttpServlet.service", "org.apache.jasper.servlet.JspServletWrapper.service", "org.apache.jasper.servlet.JspServlet.serviceJspFile", "org.apache.jasper.servlet.JspServlet.service", "javax.servlet.http.HttpServlet.service", "org.apache.catalina.core.ApplicationFilterChain.internalDoFilter", "org.apache.catalina.core.ApplicationFilterChain.doFilter", "org.apache.tomcat.websocket.server.WsFilter.doFilter", "org.apache.catalina.core.ApplicationFilterChain.internalDoFilter", "org.apache.catalina.core.ApplicationFilterChain.doFilter", "org.apache.catalina.core.StandardWrapperValve.invoke", "org.apache.catalina.core.StandardContextValve.invoke", "org.apache.catalina.authenticator.AuthenticatorBase.invoke", "org.apache.catalina.core.StandardHostValve.invoke", "org.apache.catalina.valves.ErrorReportValve.invoke", "org.apache.catalina.valves.AbstractAccessLogValve.invoke", "org.apache.catalina.core.StandardEngineValve.invoke", "org.apache.catalina.connector.CoyoteAdapter.service", "org.apache.coyote.http11.Http11Processor.service", "org.apache.coyote.AbstractProcessorLight.process", "org.apache.coyote.AbstractProtocol$ConnectionHandler.process", "org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun", "org.apache.tomcat.util.net.SocketProcessorBase.run", "java.util.concurrent.ThreadPoolExecutor.runWorker", "java.util.concurrent.ThreadPoolExecutor$Worker.run", "org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run", "java.lang.Thread.run"]
},
"server_hostname": "820c2691f452",
"server_nic": [{
"ip": "172.17.0.2",
"name": "eth0"
}],
"server_type": "tomcat",
"server_version": "7.0.78.0"
}
]
参数说明 :基线日志数组,包含多条基线日志,极限报警字段说明:https://rasp.baidu.com/doc/setup/log/main.html
返回结果 :
{
"status":0,
"description":"ok",
"data":{
"count":1
}
}
参数 | 说明 |
---|---|
count | 成功处理的日志数量 |
上传异常日志
描述 :上传异常日志
请求方法 :POST
路径 :v1/agent/log/error
请求体 :
[
{
"message": "HTTP request to http://scloud.baidu.com:8086/v1/agent/rasp failed:",
"server_nic": [{
"name": "en0",
"ip": "172.24.182.127"
}],
"stack_trace": "sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)\nsun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:57)\nsun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)\njava.lang.reflect.Constructor.newInstance(Constructor.java:526)\nsun.net.www.protocol.http.HttpURLConnection$6.run(HttpURLConnection.java:1676)\nsun.net.www.protocol.http.HttpURLConnection$6.run(HttpURLConnection.java:1674)\njava.security.AccessController.doPrivileged(Native Method)\nsun.net.www.protocol.http.HttpURLConnection.getChainedException(HttpURLConnection.java:1672)\nsun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1245)\ncom.baidu.openrasp.cloud.CloudHttp.request(CloudHttp.java:64)\ncom.baidu.openrasp.cloud.Register$RegisterThread.run(Register.java:54)\njava.lang.Thread.run(Thread.java:745)\n",
"level": "WARN",
"event_time": "2019-01-11T13:36:46+0800",
"app_id": "9b3554a97673f1f8f5c929310298037a660d3b7a",
"pid": 58353,
"server_hostname": "localhost",
"rasp_id": "3089c8d2672efd1ef5c3e322d9e8fcb1"
}
]
参数说明 :错误日志数组,包含多条错误日志,字段说明同上文基线报警字段说明。
返回结果 :
{
"status":0,
"description":"ok",
"data":{
"count":1
}
}
参数 | 说明 |
---|---|
count | 成功处理的日志数量 |