你的 Docker 应用是安全的吗？（你的设备遇到问题需要重启你可以重新启动 总是进不去）

你的 Docker 应用是安全的吗？（你的设备遇到问题需要重启你可以重新启动 总是进不去）

FROM tomcat:7-jre8MAINTAINER demoENV CATALINA_HOME /usr/local/tomcatENV PATH $CATALINA_HOME/bin:$PATHWORKDIR $CATALINA_HOMEADD OneRASP ./OneRASPRUN sed -i '234 a CATALINA_OPTS="-javaagent:/usr/local/tomcat/OneRASP/lib/RaspAgent.jar $CATALINA_OPTS"' $CATALINA_HOME/bin/catalina.shCMD ["catalina.sh", "run"]

下面我们开始build镜像

docker build -t="docker.test.com/onerasp/demo" . 启动镜像：

docker run -p 9999:8080 -d --name rasptest docker.test.com/onerasp/demo

查看进程，确认带有探针的tomcat启动成功

docker top rasptest

日志

/usr/bin/java -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -javaagent:/usr/local/tomcat/OneRASP/lib/RaspAgent.jar -Djava.endorsed.dirs=/usr/local/tomcat/endorsed -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/usr/local/tomcat -Dcatalina.home=/usr/local/tomcat -Djava.io.tmpdir=/usr/local/tomcat/temp org.apache.catalina.startup.Bootstrap start

启动成功。

如果要验证 RASP 是否可以防御攻击，我们还要准备一个待攻击的应用，相应的攻击脚本，最后验证我们的攻击是否有效。

待攻击应用以 webgoat 为例，如果有人不了解可以看看Github上 webgoat的介绍。

在 docker hub 可以搜到 webgoat 的镜像，实验也以 pandrew/webgoat 的 Dockerfile 基础镜像，稍作修改。

在当前目录下构建webgoat镜像：

sudo docker build -t="webgoat_agent_test" .

启动镜像：

sudo docker run -d --name webgoat -p 8080:8080 webgoat_agent_test

启动后，要确认两点：第一，观察控制台，确认探针连接是否正常；第二，确认应用是否正常启动。

由此可见，OneRASP 确实检测到了我们之前发起的那次 XPath Injection 攻击，在之后笔者又尝试了几种常见的攻击类型，例如 SQL Injection、CSRF、XSS 等，OneRASP 都监听到了攻击请求，并且定位到攻击的相关位置，试验到此结束。