CaledoniaProject

icon location I build secure systems, break things to understand them, and learn every day.

Results 99 comments of CaledoniaProject

openrasp 目录浏览漏洞绕过

这个主要是为了兼容1.0 Rhino引擎的,我们处理下,多谢反馈

请问web项目采用异步sql查询,openrasp支持监测这种异步的项目吗?

目前应该是不支持的,请提供下框架名称?如果有最小的测试用例,也请提供一个,方便我们测试。

Feat support es7

1. 这个支持ES 8.0、7.17嘛,你代码写死的7.11,这个得改下 2. 数据问题不大,你可以看下是否可以用elasticdump迁移

jdk16 XSS 漏洞无法检测。

是所有服务器都受到影响吗

IAST灰盒扫描扫不出XSS漏洞,是否需要自行添加xss的hook

XSS不依赖hook点,所以用黑盒扫描器检测即可。另外,目前开源版本的IAST没有做XSS支持。

几个小建议

1. 可以支持。如果你着急的话,可以直接从ES去查询,或者配置Kafka将日志发送到你的SIEM 2. 关于第二个问题,OpenRASP目前采集了系统环境变量,应该能帮助你解决一部分问题 3. 现在的模型不太适合跑周期性任务,另外开放读文件的接口可能会有DOS风险

容器化部署时,每次主机重启会在云控端新注册主机记录

目前你可以通过 openrasp.yml 固定 rasp.id,这个方案能否合入还得研究下

Open class files in VSCode and add a debug breakpoint anywhere

@testforstephen It works for class names, not class methods, is that expected? ![screen 2022-07-15 at 13 51 54](https://user-images.githubusercontent.com/1357701/179159672-172d6b9f-da2c-443b-95cf-f13c1a1d6074.jpg)

Open class files in VSCode and add a debug breakpoint anywhere

> However, it does not include the methods in the library due to performance considerations. Any chances to create a new setting for that?

No sys/time.h on Windows

Yes, It's doesn't compile with Visual Studio.