Web应用安全检测工具介绍

时间：2020-05-20 17:51:39 来源：作者：

关于 webshell

由于 webshell 是通过 http 协议进行访问，被远程控制的服务器或者远程主机不易发现，非常隐蔽。简单的说来，webshell 就是后端程序编写的木马后门，通常是一条后端编程语言语句或者一个文件，通常是通过一句话执行命令行进行上传下载文件、查看数据库、执行任意程序命令等。

基于特征的检测方式

该方式的优点是实现原理简单，容易实现，准确率高；缺点就是新型的 webshell 无法检测，需要不断地更新规则库进行完善。由于 webshell 是通过 http 协议进行访问，检测 webshell 常见有两种工作方式：

· (WAF)通过 web 应用防火墙进行实时的特征及规则检测

· 通过特征及规则对目录下文件进行扫描检测

基于 AST 语法树的检测方式

该方式主要使用抽象语法树进行解析，遇到危险操作进行统计分析告警。优点在于动态解析，能发现具体代码如何工作, 准确性高，缺点是该方式的实现方式复杂，局限大，如果需要对不同的后端代码程序进行检测，需要实现不同的语言的语法树解析，难度呈现指数级。

Yara 规则快速匹配工具

Yara[fn:1]是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具（由 virustotal 的软件工程师 Victor M. Alvarezk 开发），使用 Yara 可以基于文本或二进制模式创建恶意软件家族描述信息，当然也可以是其他匹配信息。

支持多平台，可以运行在 windows、linux、mac OS X，并通过命令行界面或扩展的 Python 脚本使用。

Yara 使用

使用 Yara 进行规则匹配时需要两样东西：规则文件和目标文件，目标文件可以是文件、文件夹或进程。Yara-rules规则[fn:2]，开源社区维护了一个很好的规则库。该库包含恶意软件等规则，这里我们直接使用webshells_index.yar[fn:3]及 webshells 目录下的规则即可。yara 参数如下：

YARA 3.11.0, the pattern matching swiss army knife.
Usage: yara [OPTION]... [NAMESPACE:]RULES_FILE... FILE | DIR | PID

Mandatory arguments to long options are mandatory for short options too.

       --atom-quality-table=FILE        path to a file with the atom quality table
  -C,  --compiled-rules                 load compiled rules
  -c,  --count                          print only number of matches
  -d,  --define=VAR=VALUE               define external variable
       --fail-on-warnings               fail on warnings
  -f,  --fast-scan                      fast matching mode
  -h,  --help                           show this help and exit
  -i,  --identifier=IDENTIFIER          print only rules named IDENTIFIER
  -l,  --max-rules=NUMBER               abort scanning after matching a NUMBER of rules
       --max-strings-per-rule=NUMBER    set maximum number of strings per rule (default=10000)
  -x,  --module-data=MODULE=FILE        pass FILE's content as extra data to MODULE
  -n,  --negate                         print only not satisfied rules (negate)
  -w,  --no-warnings                    disable warnings
  -m,  --print-meta                     print metadata
  -D,  --print-module-data              print module data
  -e,  --print-namespace                print rules' namespace
  -S,  --print-stats                    print rules' statistics
  -s,  --print-strings                  print matching strings
  -L,  --print-string-length            print length of matched strings
  -g,  --print-tags                     print tags
  -r,  --recursive                      recursively search directories
  -k,  --stack-size=SLOTS               set maximum stack size (default=16384)
  -t,  --tag=TAG                        print only rules tagged as TAG
  -p,  --threads=NUMBER                 use the specified NUMBER of threads to scan a directory
  -a,  --timeout=SECONDS                abort scanning after the given number of SECONDS
  -v,  --version                        show version information

递归遍历检测

~# yara -r ./webshell_index.yar ~/

检测webshell

统计样本数量

统计查看有多少个样本。例如:

find ~/webshell/ -type f | wc -l

统计样本

统计检测到多少个样本，由于不同规则检测到重复的样本，通过 uniq 去重。例如：

~# yara -r ~/rules/webshells_index.yar ~/webshell/ | awk -F' ' '{print $2}'|sort|uniq|wc -l902

统计样本去重

webshell 样本

webshell的样本在 github [fn:4]上找到的开源样本。主要用来测试 yara 规则及与商业或开源的其他 webshell 检测工具做对比。

检测结果

在 1613 个样本中，检测识别出 902 个样本。

样本总数检测结果检测工具

1613 902 yara

随机抽样检测（该结果有一些问题，实际检测出来了，但由于命令行去重处理在 linux 下不能很好识别中文与空格的文件及文件夹名导致的，仅作参考）。

样本总数检测结果检测工具

316 110 yara

注意：经过随机抽样检测，在不同的情况下结果有差异。实际情况还是要根据 yara 的规则库完善情况而定。

https://github.com/VirusTotal/yar
https://github.com/Yara-Rules/rules
https://github.com/Yara-Rules/rules/blob/master/webshells%5Findex.yar
https://github.com/7ym0n/webshell

微信公众号

hacktribe

Tags：检测工具点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

比X大师更靠谱？一款真正良心的硬件检测工具

相信大家都经常使用X大师来检查硬件的情况，不过X大师作为一款商业软件，附带有广告推广内容，总会令一些用户觉得不那么痛快。甚至X大师还会修改你浏览器的主页，捆绑其他软件，难以...【详细内容】

2020-10-10　　Tags: 检测工具点击:(139)　　评论:(0)　　加入收藏

MediaInfo for Mac(视频参数检测工具)

MediaInfo Mac版是Mac平台上一款开源、跨平台的媒体信息检测工具，可以快速地检测出视频音频文件的详细信息。mediainfo mac版在第一次启动的时候会弹出参数设置界面，你可以在L...【详细内容】

2020-08-12　　Tags: 检测工具点击:(82)　　评论:(0)　　加入收藏

Web应用安全检测工具介绍

关于 webshell由于 webshell 是通过 http 协议进行访问，被远程控制的服务器或者远程主机不易发现，非常隐蔽。简单的说来，webshell 就是后端程序编写的木马后门，通常是一条后端...【详细内容】

2020-05-20　　Tags: 检测工具点击:(122)　　评论:(0)　　加入收藏

硬盘检测工具哪个好？在win10中这样检查磁盘健康状态就对了

硬盘是电脑的灵魂，而电脑是存储所有最重要数据的地方。尽管大多数电脑硬件都可以更换，但是如果你还没有创建备份，则硬盘上的宝贵数据将无法替换。因此，确保硬盘保持健康是至关重...【详细内容】

2020-03-08　　Tags: 检测工具点击:(133)　　评论:(0)　　加入收藏

Windows自带强大的入侵检测工具——Netstat 命令查询是否中木马

　　Netstat命令可以帮助我们了解网络的整体使用情况。根据Netstat后面参数的不同，它可以显示不同的网络连接信息。Netstat的参数如图，下面对其中一些参数进行说明。如何检...【详细内容】

2019-12-03　　Tags: 检测工具点击:(110)　　评论:(0)　　加入收藏

▌简易百科推荐

恶意软件使用新的“无文件”技术逃避传统杀毒软件

已经观察到一种新的基于JavaScript的远程访问木马（RAT）利用社会工程学传播，采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队（PA...【详细内容】

2021-12-17　　网安老葫　　　　Tags:恶意软件　点击:(13)　　评论:(0)　　加入收藏

Windows下如何彻底关闭windows defender防病毒

关于windows Defender防病毒的问题升级win10后，我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类，直接给你删除。你好不容易找了个激活工具，你刚打开发现...【详细内容】

2021-11-08　　IT小哥吧　　　　Tags:defender 　点击:(47)　　评论:(0)　　加入收藏

如何永久告别流氓软件，这5个杀毒神器，让你的电脑干干净净

喽！大家好，我是小易，欢迎来到我的知识分享站！今天给大家分享5个杀毒神器，让你的电脑干干净净，建议收藏起来哟！ 1、Windows Defender随着Win10系统的更新已经日趋完善，它可以很好的解...【详细内容】

2021-11-08　　知识与技能　　　　Tags:流氓软件　点击:(74)　　评论:(0)　　加入收藏

linux防火墙iptables常用操作笔记

介绍其实Iptables服务不是真正的防火墙，只是用来定义防火墙规则功能的"防火墙管理工具"，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能。fil...【详细内容】

2021-10-18　　互联网IT技术全栈　　　　Tags: 　点击:(52)　　评论:(0)　　加入收藏

最强的漏洞扫描工具Nessus安装教程

什么是Nessus？Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下：查看当前kali系统内核版本...【详细内容】

2021-09-09　　TestGO　　　　Tags:Nessus 　点击:(112)　　评论:(0)　　加入收藏

红队渗透工具集——探测

http 头部信息http头部信息经常包含着主机服务的一些版本信息，经常使用的字段信息有：Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】

2021-08-19　　80后IT老民工　　　　Tags:渗透　点击:(227)　　评论:(0)　　加入收藏

带你了解免杀的小知识

一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】

2021-08-18　　白帽hacker淬炼　　　　Tags:免杀　点击:(82)　　评论:(0)　　加入收藏

这个工具专门用于寻找路由器中的安全漏洞

关于工具现有工具现在，现成的污点分析工具已经有很多了。其中，我最感兴趣的是Triton和bincat，因为两者已经相当成熟。然而，我们却无法使用这两种工具，因为它们不支持目标设备所...【详细内容】

2021-08-12　　Hbo涵　　　　Tags:安全漏洞　点击:(94)　　评论:(0)　　加入收藏

防火墙技术有哪些？

从实现原理上分，防火墙的技术包括四大类：网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】

2021-07-20　　趣谈文化　　搜狐号　　Tags:防火墙　点击:(225)　　评论:(0)　　加入收藏

黑客如何搭建和使用VMware和Kali Linux使用环境？

一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件，可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】

2021-07-12　　Kali与编程　　公众号　　Tags:Kali Linux 　点击:(113)　　评论:(0)　　加入收藏

推荐资讯

聊聊如何自定义数据脱	河南人到底有多爱吃面
人称“犬中四煞”的4	离婚后，约定每月给孩子
“三皇五帝”分别是哪	印度低种姓群体如何翻
日本研发“飞行摩托”	2021年Steam最畅销游