freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Spock SLAF:一款功能强大的共享代码库应用程序防火墙
2022-05-08 16:30:22
所属地 广西

关于Spock SLAF

Spock SLAF是一款功能强大的共享代码库应用程序防火墙,简称为“SLAF”。该项目的主要目的是为了保护那些使用了OpenSSL库的服务或应用程序免受网络威胁的侵害。SLAF可以通过插入钩子来拦截所有的通信信息,以检测异常行为,并阻止和记录入侵行为,比如说缓冲区溢出、路径遍历、XSS和SQL注入等等。因此,为了检测异常,Spock SLAF使用具有等级分数的确定性有限自动机来计算风险,并为每个上下文创建警报。

功能介绍

1、可以对SSL_read()输入缓冲区中的数据进行分析处理,并屏蔽、记录和检测安全可疑行为;

2、适用于任何使用了OpenSSL库的应用程序或服务;

3、如果在TLS上下文中检测到了异常行为,Spock SLAF将会存储异常行为的来源(IP地址)、日期和Payload,并将信息存储到“spock_agressors.log”日志文件中;

工具下载&部署&编译

首先,我们需要使用下列命令将该项目源码克隆至本地:

$ git clone https://github.com/CoolerVoid/spock_slaf

接下来,切换到项目目录中:

$ cd CoolerVoid/spock_slaf

然后使用make命令编译项目代码:

$ make clean; make

现在,我们将看到“bin”目录中会生成共享代码库“spock_slaf.so.1”。

工具使用

工具安装和配置完成之后,接下来就需要将生成的共享库注入到我们使用了OpenSSL的程序代码或服务代码中了,这一步可以通过下列通信上下文(服务器)来实现。

现在,使用LD_PRELOAD方法来将其注入到我们的服务代码中:

$ LD_PRELOAD=/home/cooler/spock_slaf/bin/spock_slaf.so.1 bin/rest_server

# note: change /home/cooler/spock_slaf/bin/ to your full path name

上述代码已经在一台Rest服务器中进行过测试。此时,如果任何人想要攻击rest_server的话,我们就会在“spock_agressors.log”日志文件中查看到完整的记录信息了。

工具使用提示

1、如果将SPOCK_SCORE宏设置为1-10之间的任何数字(值越大越敏感),这可以自定义分数等级以检测异常行为;

2、支持自定义需要屏蔽的Payload列表;

3、如果在源代码中将宏SPOCK_ONLY_HTTP设置为“1”,则可以在HTTP上下文中得到性能的提升;

4、如果在源代码中将宏SPOCK_BUGVIEW设置为“0”,则可以删除调试模式;

工具演示视频

视频地址:https://www.you*tube.com/watch?v=Lm3kpA-NZnE

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可证协议。

项目地址

Spock SLAF:GitHub传送门

参考资料

https://www.openssl.org/docs/man1.1.1/man3/SSL_read.html

https://www.linuxjournal.com/article/7795

https://www.kernel.org/doc/html/v4.16/userspace-api/seccomp_filter.html

https://man7.org/linux/man-pages/man8/ld.so.8.html

# openssl # 共享库 # 代码安全 # 应用程序防火墙
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录