webshell检测方式深度剖析---语法语义检测(上)

最新推荐文章于 2024-05-24 17:07:22 发布
最新推荐文章于 2024-05-24 17:07:22 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 恶意脚本检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31032141/article/details/107372758
版权

目录

概述

语法语义检测本质上属于静态代码分析,鉴于篇幅原因,我们分三讲来进行该部分:

  • 第一讲从理论角度,论述基于语法语义的静态分析如何应用在webshell检测上,给出一个通用的检测框架。
  • 第二讲从实践角度,讲述RIPS在基于给出的理论框架下的具体实现,实现从理论到实践的落地过程。
  • 第三讲从代码角度,分析RIPS的架构设计和核心代码部分,从源码入手,深入分析其核心检测原理。

web应用安全漏洞的本质

一个web应用的大致结构如下:

一个web应用安全漏洞发生在用户提供的数据没有被正确过滤,并且该数据被应用在动态脚本的恶意操作中,因此也被称为污染型漏洞。

污染型漏洞的本质,是因为不可信的数据源的数据(比如用户提供的数据,通常被称为“污点数据”)到达了程序中的漏洞部分(sensitive sinks)。

任何能被用户修改的数据都需要被当做污点数据(比如GET/POST/COOKIE和数据库内的条目)。而程序中的漏洞部分通常指的是潜在的漏洞函数,简称为PVF(Potentially Vulnerable Functions)。PVF通常可能会被用来执行恶意操作,因此在正常业务中,PVF只能操作可信数据或者被净化过的数据。

下图展示了部分污染型漏洞的本质:

基于静态代码分析的检测框架

动态分析通常通过运行程序,指定输入,但是其只能分析在特定执行环境下程序能够走到的部分。而静态代码分析分析程序源代码不用去实际执行,可以同时分析代码中不同的执行路径,并对每一种可能的输入序列做出判断。

静态代码分析被用于很多用途,比如语法高亮,类型检查,bug查找等。任何检测源代码而不用执行它的工具都可以被归类为静态分析工具。

基于静态代码分析的检测包含四个步骤:

  1. 配置;
  2. 模型构建;
  3. 分析;
  4. 结果处理;

配置

首先,检测工具需要定义准确的规则来得知需要找什么。对漏洞分析来说,必须制定哪种类型的漏洞需要被检测和该种类型漏洞所包含的程序漏洞的具体模式(比如eval+外部输入即可判定为远程代码执行漏洞)。

然后,我们也需要定义哪些用户输入能够污染数据。

最后,需要定义适当的安全动作,用来处理最终的分析检测结果。

模型构建

静态分析工具需要把源代码转换成中间模型,中间模型是源代码的一种抽象内部表现形式,比如AST(抽象语法树)可以认为是源代码的一种中间表示形式。

检测工具的质量很大程度上依赖程序模型的质量,因此工具对语言语法的理解是非常重要的。

构建一个程序模型需要下面几步:

  • 词法分析:工具需要切割源代码成词法单元(token)序列,用于准确识别程序结构。为了准确识别有联系的tokens不重要的token例如空格和注释会被清掉。
  • 语义分析:检测工具检查每一个token的语义,这一步很重要的,用来决定一个token是函数调用,还是单纯的字符串或者其他语义单元。
  • 控制流分析:所有可能的程序执行路径都会被检查。包括很少情况被执行的分支和函数调用。这些路径然后被综合成几个控制流图(control flow graphs:CFG),CFG代表了所有的数据流路径。
  • 数据流分析:工具在每个CFG上执行数据流分析来检测数据在程序中的移动。此阶段可以定位漏洞的位置。数据流分析基于语义分析和控制流分析,所以之前分析的结果需要尽可能准确。

分析

基于构建的模型,工具可以进行在每一个被发现的PVF上进行漏洞分析。

污点分析

此阶段发现污染数据到达了PVF,因此一个安全漏洞可能存在。检测工具工具必须区分被污染的数据和不被污染的数据。比如下面例子:

/********************************远程命令执行漏洞*******************************/
<?php
	$a = $_GET["a"];
	$b = $a;
	system($b, $ret);

/********************************无害的静态命令执行*******************************/
<?php
	$a = $_GET["a"];
	$b = "date";
	system($b, $ret);

通过分析PVF参数的数据流,可以判断是否污染数据到达了敏感位置,还是PVF只是调用了一些无害的静态数据。

过程内和过程间分析

过程内分析包括追踪在一个被调用的自定义函数内的数据。如果一个PVF调用在函数定义内被发现,工具必须确定在哪种情况下该函数会触发一个漏洞。很大可能是PVF依赖用户自定义函数的参数,而该参数又可能是被污染的数据。

工具还必须有能力判断是否被污染数据又离开了自定义函数还是在函数内被净化了。函数也有可能返回被污染的数据,尽管并没有在参数中出现污染数据。

过程间分析是关于理解一个函数调用的上下文。随着程序状态的不同,函数调用的行为可能会不尽相同,或者在过程间全局变量的值发生了改变。

结果处理

最后一步需要把分析结果展示给用户,展示的方式需要能够让用户快速发现严重的漏洞。只展现重要的漏洞代码部分并且语法高亮能帮助回顾和分析问题。

同时,提供修复漏洞的帮助信息同样也很有用。

静态代码分析经常会产生误报和警告,因此以用户能自己判断是真正的漏洞还是误报的方式展示结果很重要。

总结

这一讲我们主要讲述了web安全漏的的形成机制,并以该形成机制为出发点,提出了一个通用的,可以用来检测各种web漏洞的检测框架。

下一讲,我们将以该框架为脉络,详细分析RIPS在框架各个部分的具体实现。

罗斯839
关注
专栏目录
C编译器剖析_4.1 语义检查_语义检查简介
SheIsC的专栏
02-11 2192
4.1  语义检查简介     在这一章中,我们需要在语法分析阶段建立的语法树的基础上,进行语义检查。UCC编译器中与此相关的代码主要在ucl\declchk.c,ucl\stmtchk.c和ucl\exprchk.c,分别用于对声明Declaration、语句Statement和表达式Expression进行语义检查SemanticsCheck。其中,最重要的工作就是建立C语言的类型系统,我们
基于深度学习与集成学习的可配置WebShell检测系统-v61
08-03
现有的WebShell检测方法存在误报率高、无法处理新型WebShell等问题,这促使研究者探索深度学习和集成学习的应用。 2.4 相关技术 - RNN(循环神经网络):适合处理序列数据,如WebShell代码,捕捉上下文依赖。 - ...
webshell检测方式深度剖析---语法语义检测(选读篇)
罗斯839的博客
11-01 1202
目录开篇基于语义分析检测模型预处理模块污点子树提取模块语义分析模块疑问总结 开篇 又到了周末,大好时间不能浪费,翻看之前下载的论文,发现有一篇讲述的webshell检测。通读一遍后发现作者的检测思路很新颖,但是看到后边也有些地方看的云里雾里,特写篇文章整理一下作者的思路和我的疑问,作为webshell检测这个系列的补充。 本来想着把这些疑问想通之后再把文章发布出来,但在这些问题的泥潭里挣扎一段时间后我发现,我应该是永远想不明白了,因为其中的核心逻辑作者写的实在是太模糊了。其实也可以理解,这篇论文毕竟是发表
webshell后门分析
weixin_41489908的博客
03-13 423
别再让我遇到,不会有结果又很喜欢的人。。。 ​---- 网易云热评 一、访问上传的木马文件 http://192.168.1.104/1.asp 二、点击F12,打开谷歌自带的开发人员工具,点击network 三、输入密码,看看抓包情况,该木马会自动向某网站上传木马路径和密码 四、查看木马源文件,然后搜索该网址,随便修改为一个无效地址,该木马用的是反转加密,所以我们搜索不到,有时候是其他加密,需要解密才可以修改 注意:抓包的时候,有的后门不是一登录就发送的...
语法检查、语义检查的区别
最新发布
jjmhx的专栏
05-24 357
就像过安检,如果你带了大规模杀伤性武器,语法检查就会把你拿下,但如果你只是带个小孩儿,它就奈何不了你。可如果这个孩子一直哇哇大哭,狂喊救命,那么安检人员仍然可能将你拿下,这时候用的就是语义检查。比如标识符未定义(使用了未定义的变量、函数),函数未被正确调用(参数数量、类型和顺序与函数声明不符),以及存在未定义的行为(除以零、数组越界)。语义检查是语法检查之后进行的更高级别的检查。它关注代码的含义,检查的是逻辑。语法检查是第一道检查,就像英语的语法一样,它检查的是存不存在语法错语。
webshell检测方式深度剖析---语法语义检测(下)
罗斯839的博客
10-17 272
RIPS源码剖析
机器学习流量检测webshell-基于深度检测技术和贝叶斯算法的webshell检查程序.zip
05-08
综上所述,"机器学习流量检测webshell-基于深度检测技术和贝叶斯算法的webshell检查程序"是一个集成了深度检测、贝叶斯分类和机器学习的综合解决方案,旨在提升网络安全防护能力,有效防范Webshell带来的风险。...
基于机器学习的 Webshell 检测 (OPCode - N-Gram - TF-IDF - XGBoost).zip
02-18
人工智能-项目实践-机器学习
wazuh-webshell检测规则
12-20
在网络安全领域,Webshell是一个非常重要的概念,它是指攻击者在目标服务器上植入的恶意脚本,用于远程控制或窃取数据。Wazuh是一款开源的安全监控平台,能够帮助用户检测和预防各种安全威胁,其中包括Webshell。...
毕设&课程作业_机器学习流量检测webshell-基于深度检测技术和贝叶斯算法的webshell检查程序.zip
01-16
这个毕设或课程作业的核心是利用深度检测(Deep Packet Inspection, DPI)技术和贝叶斯算法来构建一个有效的Webshell检查程序。以下将详细介绍这两个关键技术及其在该项目中的应用。 1. 深度检测(DPI): DPI...
webshell 攻与防kill_webshell_detect-master.zip
07-25
最近几个月中,参加过很多webshell检测的比赛,有我们内部的,也有其他厂商的,平心而论,TSRC和 青藤云针对webshell|文件的检测思路和实现成熟度是业界领先的,使用动静态污点分析webshell文件,已经是非常高级的检测手段,大家如果不熟悉原理的话,可以看这篇文章:8主机安全--洋葱Webshell检测实践与思考-博客-腾讯安全应急响应中心。 虽然做webshell弓|擎绕过时间不长,但是总结出.了一套自己的方法论,本篇内容会给出我的思考方式,包括针对webshell文件 多种检测手段的攻防总结,而不会直接给- -个通用的webshell,因为没有意义,授人以渔更加重要。 最近一段时间,也看了很多认知方面的书,之前看待事物总是看其一角,做技术也是囿于- -面,思维不是很开阔,经过不断地看书,思考,认知慢慢有了改变,获益良多。作为技术人员,我的建议是不要总是看技术书籍或者一心研究技术,多看看哲学,认知,效率,商业方面的书籍,可以让你看到人生多种可能性,同时反哺技术上的视野和思考模式。
在C程序编译过程中,什么是语法检查、语义检查?两者有何区别?
weixin_47441055的博客
06-25 1268
语法检查(Syntax Check):语法检查是编译器在编译过程中进行的第一步,用于检查代码是否符合语法规则。语义检查(Semantic Check):语义检查是编译器在语法检查之后进行的下一步,用于检查代码的语义和逻辑是否正确。总的来说,语法检查是编译器的第一道检查,用于检查代码的结构和组织是否正确;而语义检查是对代码的进一步分析,用于检查代码的语义和逻辑是否正确。语义检查主要关注的是代码的含义和逻辑是否正确,例如变量的类型是否匹配、函数的参数是否正确、变量的声明和使用是否一致等。
webshell检测方式深度剖析---语法语义检测(中)
罗斯839的博客
10-13 798
目录概论1 配置1.1 文件扩展名1.2 PVF列表1.3 全局安全函数列表1.4 外部输入列表1.5 关注函数列表1.6 漏洞帮助信息1.7 Token分类列表2 模型构建2.1词法分析和语法分析2.2 模型构建2.3控制流分析3 分析3.1污点分析3.2过程内和过程间分析RIPS的局限性 概论 RIPS的核心分析器是用php语言写的,检测结果保存为HTML文件,并用javascript写的窗口管理器来展示检测结果。 RIPS不需要第三方依赖,只需要一个web服务器和浏览器即可,将检测代码部署到服务器上,
web语义
yihuoZhou的博客
02-13 509
web语义化的一些见解 web语义化,人可以通过视觉去辨别代码的语义,而搜索引擎看到的只是代码,它只能通过标签来判别语义语义化最重要的一点是HTML的语义化,为了实现编写的代码尽可能对搜索引擎友好,所以要尽可能的使标签语义化。语义化的最终目的是为了实现让人和搜索引擎更容易理解代码。 如一些标签的语义: h1~h6:标题; th:表的头
安全实践:webshell检测
围城
03-24 863
2020/03/07 - 引言 最近在看webshell检测的相关文章,最初的搜索的关键词是webshell +cnn,通过找了一些论文来看看具体的检测效果,这里看了几篇文章感觉不错。 基于机器学习的 Webshell 发现技术探索[1] 这篇文章算是看到的比较早的文章了,文章中将多种webshell检测方法都进行了说明,并将前期的代码处理方式也进行了完整的说明。 前期预处理三种方法:直接使...
【编译原理】语义检查
qq_46130027的博客
02-12 879
SDD是CFG的扩展将每个语法符号与语义属性相关将每个产生式与一组语义规则相关联,这些规则用于计算产品中每个符号的属性值如果X是一个符号,a是X的一个属性,则用X.a表示。
6. 语义分析
weixin_45360119的博客
01-13 2870
语义分析 语义分析也称为类型检查,上下文相关分析 负责检查程序(抽象语法树)的上下文相关的属性 这是具体语言相关的,典型的情况包括 变量在使用前先进行声明 每个表达式都有合适的类型 函数调用和函数的定义一致 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YX2SxtEw-1642042136401)(…/picture/12.png)] 符号表 用来存储程序中的符号(标识符)相关属性信息,是进行上下文语义合法性检查的依据。 类型 作用域 访问控制信息
机器学习驱动的智能WebShell检测算法
"智能检测WebShell的机器学习算法" 在网络安全领域,WebShell是一种常见的网络入侵工具,由于其危害性大且具有很好的隐蔽性,给网络安全带来了严重威胁。传统的WebShell检测方法通常基于静态规则或签名匹配,这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值