AabyssZG's Blog
·
一场跨越十年的超时空思维碰撞
💡
原文中文,约4700字,阅读约需12分钟。
📝
内容提要
腾讯开源的xSRC系统存在逻辑漏洞,下载了一个用于检测php Webshell的Perl工具。工具通过正则表达式匹配高危函数和可调用的高危函数来查杀Webshell。工具的正则表达式可以拦截各种类型的Webshell,包括自定义函数混淆字符串类型、一维数组绕过和异或+变换参数绕过等。回调函数可以绕过正则表达式的检测。国内网络安全行业刚刚起步时,对Webshell的查杀主要基于正则表达式,而现在则更多采用语义分析和机器学习等技术。
🎯
关键要点
- 腾讯开源的xSRC系统存在逻辑漏洞。
- ScanWebshell工具用于检测php Webshell。
- 工具通过正则表达式匹配高危函数和可调用的高危函数来查杀Webshell。
- 正则表达式可以拦截多种类型的Webshell,包括自定义函数混淆和一维数组绕过等。
- 回调函数可以绕过正则表达式的检测。
- 国内网络安全行业早期主要依赖正则表达式查杀Webshell,现在更多采用语义分析和机器学习技术。
- 脚本的正则匹配式能够识别多种高危函数。
- 作者对PHP参数调用和变形有深入理解。
- 可以通过回调函数等手法绕过正则表达式的检测。
- 十年间,网络安全技术发展迅速,从正则匹配到语义分析和机器学习。
➡️
