由于公司安排需要集成openRASP,花了些功夫终于集成了,但是测试的时候发现sql注入的例子某些时候无法被正确拦截到,因此花了一周时间研究一下具体原因。
下面是rasp执行sql校验的大致流程图:
但是该流程有一个较为严重的 "瑕疵" ,就是 "安全校验"这一步。 安全校验是: java代码 --> c++语言 --> JS插件执行校验 , 这样的3种语言混合的,并且,在c++代码中内置了一个线程池用来执行JS。
如果当线程池内满了就放入队列里等待执行,但是如果从队列取出的任务超过了超时时间timeout,则不会继续执行,因此可能导致有安全隐患的SQL语句没有进行过校验后直接退出了,而 "没有进行过校验的SQL语句" 与 "校验通过的SQL" 的返回值一样都是Null , 而外层的java代码就将其 “误认为校验通过", 然后将该请求放入LRU缓存。
所以,当下一次同样的SQL语句进入校验流程时,则会命中LRU缓存后不执行校验。
该问题不只是影响sql的校验,所有类型校验都存在。所以,到github上给rasp官方提出了issues , 也附上了临时解决方案 : https://github.com/baidu/openrasp/issues/322