物联网技术2023年/第8期智能处理与应用IntelligentProcessingandApplication1080引言WebShell通常指网站服务器的后门恶意文件,是一种以可执行网页脚本文件的形式存在于Web服务器上,一般具有文件上传下载、在线编辑、数据库操作、命令执行等功能,因经常与常规的网页文件混合保存在同一个目录中,具有极强的隐蔽性。WebShell可以轻松绕过防火墙,不被防火墙拦截,同时对它的操作只在Web日志中留下使用痕迹,而不会在系统日志中留下数据操作的痕迹。网络入侵者通过网站文件上传、SQL注入等漏洞植入WebShell到网站服务器目录上,应用专门的后门管理工具进行连接恶意文件成功后,从而达到持续控制网站服务器权限目的。1WebShell分类WebShell分类通常有两种形式:一种是按照脚本语言类型划分;另一种就是按照脚本功能和大小划分。1.1脚本类型分类常见的Web网页形式有PHP语言、ASP语言、JSP语言等,因此WebShell划分为PHP、ASP和JSP三种类型[1],常见的WebShell脚本见表1所列。(1)PHP类型WebShell脚本PHP(HypertextPreprocessor)为超文本预处理器,PHP可以支持常见的MySQL、Oracle等数据库和常见的Windows和Linux操作系统,适合用来做Web动态网站开发,并可以把它嵌入到HTML语言中。表1WebShell分类简单脚本WebShell分类WebShell简单脚本PHP型WebShell脚本ASP型WebShell脚本<%evalrequest("cmd")%>JSP型WebShell脚本<%Runtime.getRuntime().exec(request.getParameter("cmd"))%>(2)ASP类型WebShell脚本ASP(ActiveServerPage)为活动服务器网页,用于各种动态网站服务的开发,与数据库和其他应用程序交互也是非常方便,支持Windows操作系统上IIS服务器运行的程序。(3)JSP类型WebShell脚本JSP(JavaServerPage)是一种动态Web资源的开发技术。JSP是在传统的网页HTML文件中插入Java程序段和JSP标记,从而形成JSP文件。1.2脚本大小和功能分类按照WebShell的大小和功能将其划分为一句话木马、小马和大马三类。(1)一句话木马型WebShell。顾名思义就是文件内容只有一句话,如表1中的WebShell简单脚本所示,传入的参数方法常有POST、GET和Request方法。POST方法提交的参数可以使用中国菜刀、蚁剑等远程管理工具连接目标受害服务器;GET方法提交的参数通过URL地址形式WebShell应急响应检测方法研究与实践朱振南,金京犬(安徽邮电职业技术学院,安徽合肥230031)摘要:互联网上的Web信息系统的飞速发展,给人...
