本文探讨了WebShell的类型、工作原理及其危害,并介绍了多种防御策略,重点阐述了RASP(运行时应用程序自我保护)如何在运行时有效拦截WebShell攻击,包括大马、小马和内存马的防御机制。悬镜安全的云鲨RASP提供了应用威胁免疫能力,助力企业构建更安全的软件生命周期。
摘要
WebShell 是一种通过浏览器来进行交互的Shell,而且是黑客通常使用的一种恶意脚本,通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络,然后安装 WebShell ,攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒,危害极大。而且, WebShell 隐蔽性极强,传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。
WebShell分类
WebShell 需要根据目标网站使用语言进行构造,常见的有 PHP、Jsp、Asp、Python、Lua 等,大体上可以分为以下几种类型:
图1 WebShell分类
WebShell工作原理
通常,WebShell 攻击有几个阶段:首先,攻击者需要在服务器上构建一个可提供远程访问的持久性机制;然后,根据需要进行提权、窃取敏感数据、安装挖矿或勒索程序以及进一步横向渗透等违法犯罪活动。
图2 WebShell工作原理
1. 持续的远程访问
WebShell 脚本为攻击者提供了一个后门,允许他们远程访问暴露的服务器。攻击者会基于同一个位置进行持续的攻击活动;甚至,有些攻击者会对自己植入的 WebShell 进行加密,并尝试阻止别的攻击者利用相同的方式植入后门,以保证只有自己才能远程访问。
2. 权限提升
WebShell 通常以用户权限运行,该权限可能受到限制。攻击者会利用操作系统漏洞来获取 root 权限,以达到提升权限的目的。
3. 网络嗅探并攻击
最低0.47元/天 解锁文章
667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
