本文就笔者研讨RASP的进程进行了一些概述，技能干货略少，倾向于遍及RASP技能。中心对java怎么完成rasp技能进行了简略的举例，想对咱们起到抛砖引玉的效果，能够让咱们更好的了解一些关于web运用程序安全防护的技能。文笔欠好，咱们轻拍。
一 、什么是RASP？
在2014年的时分，Gartner引入了“Runtime application self-protection”一词，简称为RASP。它是一种新式运用安全维护技能，它将维护程序像疫苗相同注入到运用程序中，运用程序融为一体，能实时检测和阻断安全进犯，使运用程序具有自我维护才能，当运用程序遭受到实践进犯损伤，就能够主动对其进行防护，而不需要进行人工干预。
RASP技能能够快速的将安全防护功用整合到正在运转的运用程序中，它阻拦从运用程序到体系的一切调用，保证它们是安全的，并直接在运用程序内验证数据恳求。Web和非Web运用程序都能够经过RASP进行维护。该技能不会影响运用程序的规划，由于RASP的检测和维护功用是在运用程序运转的体系上运转的。
二、RASP vs WAF
许多时分咱们在进犯中遇到的都是依据流量规矩的waf防护，waf往往误报率高，绕过率高，市面上也有许多针对不同waf的绕过 *** ，而RASP技能防护是依据恳求上下文进行阻拦的，和WAF比照十分显着，比如说：
进犯者对url为http://http.com/index.do?id=1进行测验，一般情况下，扫描器或许人工测验sql注入都会进行一些sql句子的拼接，来验证是否有注入，会对该url进行很多的发包，发的包或许如下：
http://xxx.com/index.do?id=1' and 1=2--
可是运用程序自身现已在程序内做了完好的注入参数过滤以及编码或许其他去风险操作，实践上拜访该链接今后在数据库中履行的sql句子为：
select id,name,age from home where id='1 ' and 1=2--'
能够看到这个sql句子中现已将单引号进行了转义，导致无法进行，可是WAF大部分是依据规矩去阻拦的（也有小部分WAF是带参数净化功用的），也便是说，假如你的恳求参数在他的规矩中存在，那么waf都会对其进行阻拦（上面仅仅一个比如，当然waf规矩必定不会这么简略，咱们不要钻牛角尖。），这样会导致误报率大幅提高，可是RASP技能能够做到程序底层拼接的sql句子到数据库之前进行阻拦。也便是说，在运用程序将sql句子预编译的时分，RASP能够在其发送之前将其阻拦下来进行检测，假如sql句子没有风险操作，则正常放行，不会影响程序自身的功用。假如存在歹意进犯，则直接将歹意进犯的恳求进行阻拦或净化参数。
三、国外的RASP
我搜集到国外RASP的产品有的下面几个，或许列表缺乏，欢迎弥补:P
公司名称
产品官网
Micro Focus
http://www.microfocus.com/en-us/products/application-defender/features
Prevoty
http://www.prevoty.com/
waratek
http://www.waratek.com/application-security-platform/
OWASP AppSensor
http://appsensor.org/
Shadowd
http://shadowd.zecure.org/overview/introduction/
immun
http://www.immun.io/features
Contrast Security
http://www.contrastsecurity.com/runtime-application-self-protection-rasp
Signal Sciences
http://www.signalsciences.com/rasp-runtime-application-self-protection/
BrixBits
http://www.brixbits.com/security- *** yzer.html
笔者只列举了部分国外产品，关于更多这些产品的介绍请咱们自行咨询。
依据上述搜集到的国外RASP技能产品，发现咱们都各有千秋，乃至还有依据RASP技能衍生出来的一些其他技能名词以及解决方案。
而且咱们对数据可视化越来越重视，让运用者能够一望而知的看清楚侵略点以及进犯链，以此来对特定的点进行代码整改或许RASP技能层面的进犯阻拦。
四、国内RASP技能完成进展以及状况
国内现在做RASP技能的厂家不多，我搜集的只要以下几家。如有缺乏，欢迎弥补。
产品名称
产品官网
概述
灵蜥
http://www.anbai.com/lxPlatform/
灵蜥是北京安百科技研制的一款RASP防护产品，而RASP安全研讨团队的中心是之前乌云中心成员，据我了解，乌云在2012年后半年左右的时分就对RASP技能开端进行研讨了。现在灵蜥RASP安全防护技能以及晋级到了2.0版别，对灵蜥1.0版别的架构以及防护点进行了大版别的晋级，应该是现在防护比较完善的一家了。
OneRasp
http://www.oneapm.com/
然后蓝海讯通研讨的OneRasp也出现在商场，后边不知什么原因，蓝海讯通如同抛弃了对oneRasp的研讨以及售卖，现在oneRasp官网以及下线。
OpenRasp
http://rasp.baidu.com/
在随后或许便是咱们都听过或许用过百度开源的OpenRasp，百度开源的rasp产品让更多的企业以及安全研讨者触摸和知道到了rasp技能。该项目现在社区活跃度挺高，插件开发也很简略，大大降低了运用门槛。
云锁
http://www.yunsuo.com.cn
云锁我是在18年的360安全大会上了解到的，官网将RASP技能列入了一个小功用，主打是的微阻隔技能，关于微阻隔技能，在这边咱们不做讨论。有爱好的能够搜索一下相关的技能文章。
安数云
http://www.datacloudsec.com/#/product-4
安数云WEB运用实时防护体系RASP是在我写这篇文章的时分，发现他们也开发了一款RASP产品才知道的。不过没有找到其技能白皮书等可参阅的文章。
五、各种言语RASP技能完成 ***
1.JAVA
Java是经过Java Agent *** 进行完成（Agent实质是java中的一个动态库，运用JVMTI露出的一些接口完成的），详细是运用A *** (`或许其他字节码修正结构`)技能完成RASP技能。Java Agent有三种机制，分别是Agent_OnLoad、Agent_OnAttach、Agent_OnUnload，大部分时分运用的都是Agent_OnLoad技能和Agent_OnAttach技能，Agent_OnUnload技能很少运用。详细关于Java Agent的机制咱们能够看一下下面这些文章：

[1] [2] [3]  黑客接单网