[openRASP] sql注入校验失败的原因与分析

    由于公司安排需要集成openRASP,花了些功夫终于集成了，但是测试的时候发现sql注入的例子某些时候无法被正确拦截到，因此花了一周时间研究一下具体原因。

    下面是rasp执行sql校验的大致流程图：

   

　　但是该流程有一个较为严重的 "瑕疵" ，就是 "安全校验"这一步。 安全校验是:  java代码 --> c++语言 --> JS插件执行校验  ， 这样的3种语言混合的，并且，在c++代码中内置了一个线程池用来执行JS。

　　如果当线程池内满了就放入队列里等待执行，但是如果从队列取出的任务超过了超时时间timeout,则不会继续执行，因此可能导致有安全隐患的SQL语句没有进行过校验后直接退出了，而 "没有进行过校验的SQL语句" 与 "校验通过的SQL" 的返回值一样都是Null ,  而外层的java代码就将其 “误认为校验通过", 然后将该请求放入LRU缓存。

　　所以，当下一次同样的SQL语句进入校验流程时，则会命中LRU缓存后不执行校验。

　　该问题不只是影响sql的校验，所有类型校验都存在。所以，到github上给rasp官方提出了issues , 也附上了临时解决方案 :  https://github.com/baidu/openrasp/issues/322