【技术实现步骤摘要】
一种基于RCE漏洞的WEB后门检测装置及检测方法
本专利技术涉及的
,特别涉及一种基于RCE漏洞的WEB后门检测装置及检测方法。
技术介绍
WEB后门是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以称为WebShell;黑客在入侵了一个正常网站后,通常会将ASP或PHP后门文件与网站服务器的WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP后门,得到一个命令执行环境,进而达到控制网站服务器的目的。WEB后门作为黑客植入到正常网站中的、可以执行命令的恶意网页,一般具有隐蔽性而难以被发现。现有技术中,对于WEB后门的主动检测采用网页爬虫技术,识别出可疑的WEB路径,然而,由于WEB后门是黑客通过网站漏洞植入的,一般放在比较隐蔽的位置,由于在远程监测情况下没有网站的访问流量,故而通过爬虫的方式无法被爬取到。存在WEB后门的网站一般都可能存在能被黑客利用的入侵点,如远程代码执行漏洞,即RCE漏洞,其会使得攻击者在用户运行应用程序时执行恶意程序,...
【技术保护点】
1.一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述方法包括以下步骤:/n步骤1:初始化,进行特征收集,处理得到特征库;/n步骤2:启动装置,任务下发;/n步骤3:执行任务,进行漏洞识别,检测WEB后门;/n步骤4:输出检测结果。/n
【技术特征摘要】
1.一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述方法包括以下步骤:
步骤1:初始化,进行特征收集,处理得到特征库;
步骤2:启动装置,任务下发;
步骤3:执行任务,进行漏洞识别,检测WEB后门;
步骤4:输出检测结果。
2.根据权利要求1所述的一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述步骤1中,特征收集并处理得到特征库包括以下步骤:
步骤1.1:下载已知的WEB后门源码,将收集的源码加入源代码特征匹配集合A;
步骤1.2:获取已知的RCE漏洞,加入漏洞库B;
步骤1.3:基于所述RCE漏洞,采集对应的漏洞Poc,生成漏洞Poc库C;
步骤1.4:基于所述RCE漏洞及对应的漏洞Poc,制定对应的漏洞Ext,生成漏洞Ext库D;
步骤1.5:基于所述RCE漏洞添加匹配规则,形成指纹规则库E。
3.根据权利要求1所述的一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述步骤2中,任务为规范化处理的网站的URL连接。
4.根据权利要求1所述的一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述步骤2中,任务为文本输入或文件输入。
5.根据权利要求2所述的一种基于RCE漏洞的WEB后门检测方法,其特征在于:所述步骤3包括以下步骤:
步骤3.1:调用指纹规则库E,对任务进行识别;
步骤3.2:对识别到的指纹匹配对应的RCE漏洞Poc,若匹配成功,则进行下一步,否则,判定为非WEB后门,进行步骤4;
步骤3.3:执行漏洞Poc,若判断为存在漏洞,则进行下一步,否则,判定为非WEB后门,进行步骤4;
步骤3.4:对识别到的指纹匹配对应的漏洞Ext,执行漏洞Ext,获取任务的所有网页的源代码;
步骤3.5:利用源代码特征匹配集合A对任一源代码进行特征识别,若识别成功,则判定...
【专利技术属性】
技术研发人员:娄宇,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。