应用安全
RASP(运行时应用自保护)
别称: 运行时防护
定义
嵌入到运行中应用程序内部的防御机制,实时监视执行上下文并阻断注入、反序列化攻击等恶意行为。
RASP 通过 Java Agent、.NET CLR 钩子或 Node.js 包装器等方式对应用运行时进行插桩,观察数据流、函数调用与关键 API。当检测到用户可控输入到达危险操作(SQL 解析器、反序列化器、命令执行器)时,可以记录日志、告警或直接阻断请求。与位于网络边缘只能看流量的 WAF 不同,RASP 拥有完整的应用上下文:用户、会话、代码路径都可见。对于签名与 WAF 规则难以覆盖的高价值应用,它常作为最后一道防线,但会带来运行时开销与运维复杂度。
示例
- Contrast Protect 代理在生产环境中拦截针对 Java 服务的 SQL 注入尝试。
- Imperva RASP 阻止 .NET API 上的不安全反序列化载荷。
相关术语
IAST(交互式应用安全测试)
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
Web 应用防火墙(WAF)
一种反向代理式的过滤器,通过检查 HTTP/HTTPS 流量,在请求到达应用之前阻断 SQL 注入、XSS、机器人滥用等 Web 攻击。
Input Validation
Input Validation — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.