小胖胖要减肥 | 2013-03-04 12:01
1 最简单的比如php网站检测其他脚本,比如asp,aspx,asa等文件,记得哪个发过一个扫描器,地址忘记了,有的共享下
2 比如php文件包含或者直接x在日志那么有什么比较好的方法么
1#
pangshenjie (whoami) | 2013-03-04 12:08
seay有个吧。http://www.cnseay.com/archives/2126
2#
剑心 | 2013-03-04 13:30
检测本身不是问题,疑难点是要总结出一套可行的、误报率、漏报率都能接受的特征出来
3#
小胖胖要减肥 | 2013-03-04 13:42
@剑心 是啊 就跟xss,sql注入一样 最好的肯定是手工,但需要人的思维和技术在里面呢
4#
剑心 | 2013-03-04 13:54
@小胖胖要减肥 如果不能做到真正解析代码来执行,那么一定会出现各种漏报,而且性能很可能是个问题,而且如果你都解析出来了,你还查webshell、xss、sql注入干嘛;如果纯粹靠往里面塞特征码、fuzz串,还是会出现漏报,而且最后性能肯定是个问题。
在这个问题上,真的得具体问题具体分析,考虑公司能承受多大的资源消耗在安全检查上,然后选择合适的fuzz串、特征码,选择合适的漏报误报率。
至于解析出来。。。。我真心觉得,能做出来的都碉堡了,不会来做webshell、xss、sql检测的。
具体的话,可能在一些问题场景很确定的情况下,可以使用一些特殊的方法来做一些替代。你可以问问 @d4rkwind
5#
剑心 | 2013-03-04 13:56
access日志审核那个东西,怎么说,比较鸡肋,食之无肉,弃之有味
一个机器只要对外开了web,天天几十几百个ip在那里轮番的扫描,然后你懂的
6#
hongygxiang (屌丝,纯屌!) | 2013-03-04 14:04
grep webshell特征关键字,,这样的方式比较费劲,而且比较浪费资源。
条件好的情况下,可以拿access日志和svn做比对。(访问了某个文件,且不在svn目录里面,而返回码是200的,肯定有问题)
7#
ACGT | 2013-03-04 22:04
如果部署的时候没有留好hash,修改的时候没有留好备份的话,很难
试过几个扫描器,要么只能扫出script kiddie级别的后门,要么误报率太高根本没法用。稍微懂点php的花几个小时就能弄出n种绕过静态扫描器检测的方法
8#
Lmy (话说名字太长容易被人关注) | 2013-03-04 22:30
吧文件的Hash(建议使用SHA-512算法)和绝对地址记录下来
发现异常 比较一下就知道了
9#
小胖胖要减肥 | 2013-03-04 22:33
@ACGT 是啊 所以求大家分享好的想法呢
10#
Lmy (话说名字太长容易被人关注) | 2013-03-04 22:47
Discuz! X的"文件校验"功能 可以把它提取出来用
但是违反了Discuz! X的规则
11#
Shell | 2013-03-05 14:03
一般文件给其高于http运行用户的只读权限,如root:root, 0644, 除非其获得了root权限,主要监控一些具有可写权限的目录
相关内容:
留言评论(旧系统):