记一次学习--webshell防守理念

source 检测输入源,输入源大部分是用户输入。一些像_GET或者_POST等污点追踪一直会追,只有当你程序报错或者经过了一个清洗函数污点追踪才不会追。

缓冲的绕过

然后对于HIDS来说检测文件时会通过几个方法来缓解资源上的压力。

只检测特定后缀的文件

对于已经检测过的文件,以hash缓存检测结果(这种方式在很多地方都有应用),下次不再检测

然后这里可以借助第二个特性来进行HIDS绕过,可以上传一个jsp文件然后他的里面放php的恶意代码,这样对于HIDS来说这个文件中的代码是安全的,将其以hash方式存起来,然后攻击者再次上传后缀为php的文件,然后里面的恶意代码和刚刚的jsp的恶意代码相同,这样HIDS比对hash的时候发现hash相同。成功绕过。

对于上面的问题开发者可以通过将文件名后缀和内容一起hash这样攻击者就无法利用

但是攻击者还是可以利用,这个利用的就是创建一个hash相同但是文件内容不相同的两个文件。这个叫做hash碰撞,这里在GitHub上有开源代码可以完成(其中原理涉及到了密码学的知识感兴趣的同学可以尝试)

GitHub - phith0n/collision-webshell: A webshell and a normal file that have the same MD5

相关推荐
苏州向日葵1 分钟前
C#学习知识点记录
开发语言·学习·c#
落笔画忧愁e8 分钟前
数据通信学习笔记之OSPF的区域
笔记·学习·智能路由器
Dovis(誓平步青云)15 分钟前
Cephalon端脑云:神经形态计算+边缘AI·重定义云端算力
图像处理·人工智能·学习·云原生·ai作画·边缘计算·机器翻译
Always_away1 小时前
26考研|数学分析:数项级数
笔记·学习
樱花穿过千岛湖1 小时前
第一章:Model Context Protocol (MCP)
网络·人工智能·python·网络协议·学习·tcp/ip
知识分享小能手1 小时前
JavaScript学习教程,从入门到精通,XMLHttpRequest 与 Ajax 请求详解(25)
开发语言·javascript·学习·ajax·前端框架·css3·html5
虾球xz1 小时前
游戏引擎学习第243天:异步纹理下载
c++·学习·游戏引擎
牛奶咖啡132 小时前
学习设计模式《五》——工厂方法模式
学习·设计模式·工厂方法模式·ioc/di·参数化工厂方法
ghost1434 小时前
C#学习第18天:特性(Attributes)
开发语言·学习·c#
樱花穿过千岛湖8 小时前
第六章:Multi-Backend Configuration
人工智能·python·gpt·学习·ai