系统架构 - 灰盒扫描工具

背景

IAST（交互式扫描）技术是一种实时动态交互的漏洞检测技术，通过在服务端部署agent程序，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞。目前OpenRASP项目已实现相当于IAST agent端的OpenRASP agent，在此基础上引入一个扫描端，即可实现一个完整的IAST扫描工具。

系统架构

灰盒扫描工具采用Python3实现，数据库采用MySQL，通讯采用HTTP+JSON的方式。整体架构图如下：工具分为扫描器端和agent端，Agent端用于收集web应用的运行信息，扫描器端用于处理插件产生的请求信息，并完成整个IAST扫描逻辑

agent端

由一个单独的OpenRASP插件构成，用于提取http请求中hook点产生的信息，并通过HTTP协议以JSON形式发送至扫描器端。

扫描器端

该部分是一个独立运行的扫描工具，借助从OpenRASP插件部分获取的信息完成扫描任务。

• 功能设计和模块划分

  扫描模块包括三个模块：预处理模块（Preprocessor）、扫描模块（Scanner）、监控模块（Monitor）

预处理模块即图中HTTPServer部分，用于接收agent插件的http请求，处理、存储、分发http请求信息

扫描模块用于运行扫描插件，执行漏洞扫描逻辑

监控模块用于定期获取其他模块的运行时信息，调整参数，提供控制台的HTTP服务等

• 运行流程示例

  一个典型扫描流程，以SQL注入的扫描过程为例：

  1、运行扫描器端，初始化所有模块

  2、测试人员发送了一条HTTP请求到web server，产生请求及其对应的HOOK信息被OpenRASP插件获取，发送至http_server

  3、http_server发现请求不是扫描器发出的，对其进行去重后写入数据库

  4、扫描模块从数据库获取一条HOOK信息，下发到所有扫描插件

  5、sql注入扫描插件分析HOOK信息发现用户输入参数拼接进了sql查询，运行对应扫描逻辑

  6、扫描插件生成扫描请求，把原始请求进入query的输入参数替换为单引号

  7、扫描插件在请求头添加用于识别扫描请求的scan_request_id，发送扫描请求给web server

  10、web server处理请求并返回结果，扫描插件获得http response，同时OpenRASP插件获取到请求hook信息，发送至http_server

  11、http_server发现请求是扫描器发出的，将其写入rasp_result_queue队列

  12、扫描模块读取rasp_result_queue队列，将rasp_result传给对应的扫描插件

  13、扫描插件检查收到的hook信息，发现query逻辑被改变，认为存在SQL注入，将漏洞信息写入数据库

插件开发

获取代码

在安装了python3.7的环境中可以直接运行IAST

git clone https://github.com/baidu-security/openrasp-iast.git
cd openrasp-iast
python3 openrasp_iast/main.py start -f

运行参数与pip安装相同

扫描插件

所有扫描插件均位于plugin/scanner目录下，所有扩展名为.py的文件都会在启动扫描器时被加载，ScanPluginBase.py为插件基础类，提供编写插件所需的一系列接口，具体参考接口文档

这里以编写一个简单的sql注入fuzz插件为例，介绍插件的编写方法：

首先在plugin/scanner目录下新建一个new_plugin.py文件，粘贴以下内容：

#!/usr/bin/env python3
# -*- coding: UTF-8 -*-
# 导入scanner插件基类
class ScanPlugin(scan_plugin_base.ScanPluginBase):
    plugin_info = {
        "name": "name",
        "show_name": "plugin",
        "description": "des"
    }
    # 用于生成测试向量
    def mutant(self, rasp_result_ins):
        pass
    # 用于检测测试结果
    def check(self, request_data_list):
        pass

在plugin_info中填写插件基本信息：

plugin_info = {
    "name": "sql_basic", # 插件文件名去除扩展名.py后的部分
    "show_name": "SQL注入检测插件", # 插件在后台显示的名称
    "description": "基础sql注入漏洞检测插件" # 插件功能描述
}

实现mutant函数，生成扫描向量

def mutant(self, rasp_result_ins):
    # 首先判断是否需要扫描
    if not rasp_result_ins.has_hook_type("sql"):
        return
    payload_list = [("1'openrasp", "1'openrasp"),
                    ("1\"openrasp", "1\"openrasp"),
                    ("`a openrasp", "`a openrasp")]
    # 获取所有待测试参数
    request_data_ins = self.new_request_data(rasp_result_ins)
    test_params = self.mutant_helper.get_params_list(request_data_ins, ["get", "post", "json", "headers", "cookies"])
    # 生成测试向量的逻辑，返回必须是一个iterable
    for param in test_params:
        # 只测试包含sql类型hook的请求
        if not request_data_ins.is_param_concat_in_hook("sql", param["value"]):
            continue
            # 每个测试点(参数)生成一个payload_seq，防止重复报警，含有相同payload_seq的测试请求仅保留产生的第一个报警
            payload_seq = self.gen_payload_seq()
            for payload in payload_list:
                # 基于RaspResult类的实例生成测试请求RequestData类的实例
                request_data_ins = self.new_request_data(rasp_result_ins, payload_seq, payload[1])
                request_data_ins.set_param(param["type"], param["name"], payload[0])
                request_data_list = [request_data_ins]
                # 每次迭代返回的应该是一个由RequestData类的实例组成的list, 该list中的每个RequestData实例都会被作为测试请求依次发送
                yield request_data_list

每个被发送并获取结果的请求序列都会回调check函数，在check函数中来实现漏洞判定：

def check(self, request_data_list):
    # 当前插件每个请求序列仅包含1个请求，取[0]
    request_data_ins = request_data_list[0]
    # 获取检测特征和请求结果
    feature = request_data_ins.get_payload_info()["feature"]
    rasp_result_ins = request_data_ins.get_rasp_result()
    # 检测是否触发sql注入，直接使用checker检测
    if self.checker.check_concat_in_hook(rasp_result_ins, "sql" , feature):
        # 存在漏洞，返回漏洞描述字符串
        return "sql语句逻辑可被用户输入控制"
    else:
        # 不存在漏洞，返回None
        return None

如果自行实现检测函数，需要在检测到漏洞时，使用set_vuln_hook标记有漏洞的hook点信息:

for hook_item in rasp_result_ins.get_hook_info():
    if has_vuln(hook_item):
        rasp_result_ins.set_vuln_hook(hook_item)

需要注意的是，扫描模块是基于asyncio实现的异步扫描，每个插件会以一个coroutine的形式运行，因此应避免在插件中使用同步的io操作以免影响扫描性能。在进行异常捕获时，如果要捕获全部异常，应单独处理asyncio.CancelledError异常，以免扫描任务无法被终止：

import asyncio
try:
    # do something...
    except asyncio.CancelledError as e:
        raise e
    except Exception as e:
        # do something...

去重插件

所有扫描插件均位于plugin/deduplicate目录下，IAST启动时会加载core/config.py中指定的去重插件，去重插件是为了避免同一个请求被反复扫描，应当根据扫描目标的url结构、参数等特性来编写，DedupPluginBase.py为插件基础类，提供编写插件所需的一系列接口，具体参考接口文档

• 编写一个去重插件

  在plugin/deduplicate目录下新建一个new_plugin.py文件，写入以下内容：

  #!/usr/bin/env python3
  # -*- coding: UTF-8 -*-
  # 导入去重插件基类
  from plugin.deduplicate import DedupPluginBase
  # 插件类必须命名为dedupPlugin，并继承自DedupPluginBase.DedupPluginBase
  class dedupPlugin(DedupPluginBase.DedupPluginBase):
      # 实现get_hash函数,返回hash字符串
      def get_hash(self, rasp_result_ins):
          return self.get_hash_default(rasp_result_ins)

去重插件只需要实现一个get_hash方法即可，该方法传入当前待去重请求对应的raspResult类的实例，返回一个hash字符串，返回hash相同的请求会被视为重复请求，这里直接调用了默认的get_hash_default方法，其具体实现如下：

  import hashlib
  # 计算urlpath、参数、堆栈等数据的hash，连接后生成结果hash
  def get_hash_default(self, rasp_result_ins):
          path_str = rasp_result_ins.get_path()
          stack_hash = rasp_result_ins.get_all_stack_hash()
          param_keys = "".join(rasp_result_ins.get_parameters().keys())
          query_keys = "".join(rasp_result_ins.get_query_parameters().keys())
          json_struct = rasp_result_ins.get_json_struct()
          contact_str = "".join([path_str, stack_hash, param_keys, json_struct, query_keys]).encode("utf-8")
          return hashlib.md5(contact_str).hexdigest()

注意：如果插件运行中抛出异常，会自动调用get_hash_default函数生成默认的hash