CN109194632A - 网页后门程序的检测方法、装置、计算机设备和存储介质 - Google Patents
网页后门程序的检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109194632A CN109194632A CN201810948578.8A CN201810948578A CN109194632A CN 109194632 A CN109194632 A CN 109194632A CN 201810948578 A CN201810948578 A CN 201810948578A CN 109194632 A CN109194632 A CN 109194632A
- Authority
- CN
- China
- Prior art keywords
- targeted website
- backdoor programs
- web page
- webpage
- page files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请揭示了一种网页后门程序的检测方法、装置、计算机设备和存储介质,其中方法包括:加载目标网站的时候,调用预设的后门程序查找策略;利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;若存在,则判定所述目标网站存在网页后门程序。本申请的网页后门程序的检测方法、装置、计算机设备和存储介质,因为网页后门程序是存储在网页文件中的,而存储指定形式的网页文件的后缀是可以预期的,所以以查找目标网站中是否存在指定形式的网页文件的形式,来检测目标网站是否存在网页后门程序,检查灵活性会更高,而且对检测权限的要求也更低。
Description
技术领域
本申请涉及到计算机领域,特别是涉及到一种网页后门程序的检测方法、装置、计算机设备和存储介质。
背景技术
目前检测网页后门程序的方法包括基于流量模式的检测,基于agent模式(实质是直接分析网页后门程序文件)的检测,以及基于日志分析模式的检测,但是三种检测方法的灵活性较低,必须具有较高的处理权限才能够获取到对应的数据。
发明内容
本申请的主要目的为提供一种网页后门程序的检测方法、装置、计算机设备和存储介质,旨在解决现有技术检测网页后门程序灵活性低的问题。
为了实现上述发明目的,本申请提出一种网页后门程序的检测方法,包括:
加载目标网站的时候,调用预设的后门程序查找策略;
利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
若存在,则判定所述目标网站存在网页后门程序。
进一步地,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:
利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
进一步地,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:
利用文件爆破的方式查找目标网站指定形式的网页文件。
进一步地,若查找的网页后门程序属于一句话webshell,则所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤包括:
以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
进一步地,所述判定所述目标网站存在网页后门程序的步骤之后,包括:
破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
进一步地,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤之前,包括:
判断所述目标网站是否设置有防护层;
如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
进一步地,所述判定所述目标网站存在网页后门程序的步骤之后,包括:
标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
本申请还提供一种网页后门程序的检测装置,包括:
调用单元,用于加载目标网站的时候,调用预设的后门程序查找策略;
查找单元,用于利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
判定单元,用于若所述目标网站存在指定形式的网页文件,则判定所述目标网站存在网页后门程序。
本申请还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的网页后门程序的检测方法、装置、计算机设备和存储介质,因为网页后门程序是存储在网页文件中的,而存储网页后门程序的相关文件的后缀是可以预期的,所以以查找目标网站中是否存在网页后门程序的相关文件的形式,来检测目标网站是否存在网页后门程序,检查灵活性会更高,而且对检测权限的要求也更低。
附图说明
图1为本申请一实施例的网页后门程序的检测方法的流程示意图;
图2为本申请一实施例的网页后门程序的检测方法的流程示意图;
图3为本申请一实施例的网页后门程序的检测装置的结构示意框图;
图4为本申请一实施例的查找单元的结构示意框图;
图5为本申请一实施例的查找单元的结构示意框图;
图6为本申请一实施例的网页后门程序的检测装置的结构示意框图;
图7为本申请一实施例的计算机设备的结构示意框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请实施例提一种网页后门程序的检测方法,包括步骤:
S1、加载目标网站的时候,调用预设的后门程序查找策略;
S2、利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
S3、若存在,则判定所述目标网站存在网页后门程序。
如上述步骤S1中,网站就是一个或多个网页的集合。从广义上讲,网站就是当网页发布到internet上以后,能够通过浏览器在internet上访问的页面。本实施例中,上述目标网站,即是需要检测指定形式的网页文件(webshell)网站。当需要对目标网站检测后门程序的时候,需要打开目标网站,在打开目标网站的时候有一个加载目标网站的网页文件的过程,本申请是在加载的过程中调用上述后门程序查找策略。述后门程序查找策略包括,通过关键字检索的方法,检索目标网站的各组成网页的网页文件名后缀是否为asp、php、jsp或者cgi等,具体可参考下述实施例的内容。
如上述步骤S2中,网页后门程序就是以asp、php、jsp或者cgi等网页文件形式存在的一种网页文件,以asp、php、jsp或者cgi等网页文件形式存在的网页文件,是指文件名的后缀为asp、php、jsp或者cgi的网页文件等,或者是存储地址带有asp、php、jsp或者cgi的网页文件等。黑客在入侵了一个网站后,通常会将网页后门程序文件与网站服务器web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问网页后门程序,得到一个命令执行环境,以达到控制网站服务器的目的。
如上述步骤S3所述,一旦查找到指定形式的网页文件,则可以判定目标网站存在网页后门程序,然后可以对网页后门程序进行相应的处理。比如进行相应的提示,提示方式包括多种,具体地包括,以语音提醒的方式进行提示;以报文的形式提示;以发送邮件、短信的形式提示等。
在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤S2,包括:
S211,利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
如上述步骤S111所述,上述网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。本申请的网络爬虫方法是通过搜索引擎,根据关键词查看目标网站是否收录有网页后门程序的URL地址来发现网页后门程序。在一个具体实施中,请求可能存在的网页后门程序地址,如http://www.baidu.com/webshell.php,如果返回状态码为200就标记为存在指定形式的网页文件。
在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤S2,包括:
S221,利用文件爆破的方式查找目标网站指定形式的网页文件。
如上述步骤S121所述,上述文件暴破是指,利用准备好网页后门程序常用的文件名做为字典,在目标网站上进行扫描以查找目标网站中是否存与字典中各文件名相同的文件。如果存在,则说明目标网站存在指定形式的网页文件。比如字典中存在webshell.php、webshell.asp、webshell.jsp等文件名。
在一个实施例中,若查找的网页后门程序属于一句话webshell,则上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤S2包括:
S231,以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
如上述步骤S231所述,上述一句话webshell,即为常用的后门程序文件且只有一行代码,简称:一句话webshell。因为一句话webshell非常简单,所以查找相对简单,为了提高查找速度,本申请使用并发的方式查找目标网站中的指定形式的网页文件。如,通过1000条线程进行并发,则相对传统爆破提高1000倍的查找速度。本申请中的爆破是指查找指定形式的网页文件。
在一个具体实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤S2包括:
S241、利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件,以获取到指定形式的网页文件的第一网页文件,以及不是指定形式的网页文件的第二网页文件;
S242、利用文件爆破的方式查找目标网站中的第二网页文件中是否存在指定形式的网页文件。
本申请中,通过两种不同的方式查找指定形式的网页文件,查找网页后门程序的成功率更高。在另一具体实施例中,还可以颠倒上述步骤S241和步骤S242,即先使用文件爆破的方式查找目标网站中是否存在指定形式的网页文件,然后再使用网络爬虫的方式查找目标网站剩余的网页文件中是否存在指定形式的网页文件等。
在一个实施例中,上述判定所述目标网站存在网页后门程序的步骤S3之后,包括:
S4、破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
如上述步骤S3所述,破解网页后门程序的方法包括多种,具体地包括:第一种,因为一句话webshell使用的较多,而且是被他人直接使用,所以其密码也很少被修改,可以使用常见的如admin,123456,admin888等密码进行破解,这样的好处是,如果碰到恰好设为这样密码的一句话webshell,则破解速度快,但是如果网页后门程序的密码为不常见的密码,上述第一种方法则失效。第二种,暴力破解,即利用破解字典的方式进行破解,在这里,暴力破解的速度取决于预设的破解字典的优劣,一本好的破解字典,会大大地提高破解速度,另外,还存在穷举字典,缺点是需要大量的计算和较高的网速,优点是几乎可以破解任何的网页后门程序的密码。在一个具体实施例中,如果网页后门程序被破解,我们可以对网页后门程序进行相关的分析等处理,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究,甚至主动利用被破解的网页后门程序,对目标网站服务器进行相关的测试性试验等。在一个具体实施例中,如果破解失败,则可以将网页后门程序隔离到一个封闭的存储空间,使其无法与外界通讯,以提高目标网站的安全性。
参照图2,在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤S2之前,包括:
S21,判断所述目标网站是否设置有防护层;
S22、如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
如上述步骤S21和S22所述,上述防护层包括放火墙或者伪装程序等,上述防火墙是一种防护机制,是一种常用的技术,在此不在赘述。检测目标网站是否具有防火墙的方法简单,即发送一个请求,如果请求得不到反馈,则说明与目标网站没有数据交互,进而说明目标网站存在防火墙,防火墙将请求过滤。上述伪装程序即为发给目标网站任何请求,其返回状态码均为200等。上述状态码可以表示请求的状态,本申请使用国际通用的状态码含义,比如状态码为100,表示客户端应当继续发送请求,这个临时响应是用来通知客户端,它的部分请求已经被服务器接收,且仍未被拒绝,客户端应当继续发送请求的剩余部分,或者如果请求已经完成,忽略这个响应,服务器必须在请求完成后向客户端发送一个最终响应;状态码为402,表示该状态码是为了将来可能的需求而预留的等。本实施例中,上述状态码200,表示请求已成功,请求所希望的响应头或数据体将随此响应返回。在一个具体实施例中,首先向目标网站发送一个不会存在文件请求,如果得到的返回状态码是200,则可以确定目标网站设置有伪装程序的防护。当确定目标网站具有防护的时候,则放弃对该目标网站的检测请求,因为其具有防护层,应该是安全的,没有必要浪费资源和时间再次检测;如果没有防护层,则进入上述步骤S2,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述判定所述目标网站存在网页后门程序的步骤S3之后,包括:
S5、标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
如上述步骤S5所述,即为预设一个时间间隔,每过指定时间长度,对目标网站进行一次网页后门程序的检测,上述的预设值可以为一天、一星期等。按照一定频率对目标网站进行网页后门程序检测,可以及时了解目标网站的安全性,如果发现网页后门程序的存在,则可以及时进行对应的安全处理措施,将目标网站的安全风险减低。
在一个实施例中,上述判定所述目标网站存在网页后门程序的步骤S3之后,包括:
S61、监听所述网页后门程序;
S62、若所述网页后门程序启动,则根据所述网页后门程序反向追踪所述网页后门程序的客户端。
如上述步骤S61和S62所述,当确定目标网站中被植入网页后门程序之后,并不是第一时间将其封闭或杀掉,而是对其进行监听,当网页后门程序启动,则说明网页后门程序对应的客户端对其进行了连接,此时,可以通过网络技术手段,反向追踪客户端,以进行相应的处理措施。比如,使用黑客手段,控制、破坏上述客户端等。
本申请实施例的网页后门程序的检测方法,以查找目标网站中是否存在指定形式的网页文件的形式,来检测目标网站中是否存在网页后门程序,充分利用存储指定形式的网页文件的后缀是可以预期的这一条件,使网页后门程序检测更加灵活,而且对检测权限的要求也更低。
参照图3,本申请实施例提一种网页后门程序的检测装置,包括:
调用单元10,用于加载目标网站的时候,调用预设的后门程序查找策略;
查找单元20,用于利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
判定单元30,用于若存在指定形式的网页文件,则判定所述目标网站存在网页后门程序。
如上述调用单元10,网站就是一个或多个网页的集合。从广义上讲,网站就是当网页发布到internet上以后,能够通过浏览器在internet上访问的页面。本实施例中,上述目标网站,即是需要检测指定形式的网页文件(webshell)网站。当需要对目标网站检测后门程序的时候,需要打开目标网站,在打开目标网站的时候有一个加载目标网站的网页文件的过程,本申请是在加载的过程中调用上述后门程序查找策略。述后门程序查找策略包括,通过关键字检索的方法,检索目标网站的各组成网页的网页文件名后缀是否为asp、php、jsp或者cgi等,具体可参考下述实施例的内容。
如上述查找单元20,网页后门程序就是以asp、php、jsp或者cgi等网页文件形式存在的一种网页文件,以asp、php、jsp或者cgi等网页文件形式存在的网页文件,是指文件名的后缀为asp、php、jsp或者cgi的网页文件等,或者是存储地址带有asp、php、jsp或者cgi的网页文件等。黑客在入侵了一个网站后,通常会将网页后门程序文件与网站服务器web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问网页后门程序,得到一个命令执行环境,以达到控制网站服务器的目的。上述后门程序查找策略包括,通过关键字检索的方法,检索目标网站的各组成网页的网页文件名后缀是否为asp、php、jsp或者cgi等。
如上述判定单元30,一旦查找到指定形式的网页文件,则可以判定目标网站存在网页后门程序,然后可以对网页后门程序进行相应的处理。比如进行相应的提示,提示方式包括多种,具体地包括,以语音提醒的方式进行提示;以报文的形式提示;以发送邮件、短信的形式提示等。
参照图4,在一个实施例中,上述查找单元20,包括:
爬虫模块211,用于利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
如上述爬虫模块211所述,上述网络爬虫(又被称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。本申请的网络爬虫方法是通过搜索引擎,根据关键词查看目标网站是否收录有网页后门程序的URL地址来发现网页后门程序。在一个具体实施中,请求可能存在的网页后门程序地址,如http://www.baidu.com/webshell.php,如果返回状态码为200就标记为存在指定形式的网页文件。
参照图5,在一个实施例中,上述查找单元20,包括:
爆破模块221,用于利用文件爆破的方式查找目标网站指定形式的网页文件。
如上述爆破模块221,上述文件暴破是指,利用准备好网页后门程序常用的文件名做为字典,在目标网站上进行扫描以查找目标网站中是否存与字典中各文件名相同的文件。如果存在,则说明目标网站存在指定形式的网页文件。比如字典中存在webshell.php、webshell.asp、webshell.jsp等文件名。
在一个实施例中,若查找的网页后门程序属于一句话webshell,则查找单元20,包括:
并发模块,用于以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
如上述并发模块,上述一句话webshell,即为常用的后门程序文件且只有一行代码,简称:一句话webshell。因为一句话webshell非常简单,所以查找相对简单,为了提高查找速度,本申请使用并发的方式查找目标网站中的指定形式的网页文件。如,通过1000条线程进行并发,则相对传统爆破提高1000倍的查找速度。本申请中的爆破是指查找指定形式的网页文件。
在一个具体实施例中,上述查找单元20包括:
第一查找模块,用于利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件,以获取到指定形式的网页文件的第一网页文件,以及不是指定形式的网页文件的第二网页文件;
第二查找模块,用于利用文件爆破的方式查找目标网站中的第二网页文件中是否存在指定形式的网页文件。
本申请中,通过两种不同的方式查找指定形式的网页文件,查找网页后门程序的成功率更高。在另一具体实施例中,还可以颠倒上述第一查找模块和第二查找模块的执行顺序,即先使用文件爆破的方式查找目标网站中是否存在指定形式的网页文件,然后再使用网络爬虫的方式查找目标网站剩余的网页文件中是否存在指定形式的网页文件等。
在一个实施例中,上述网页后门程序的检测装置,还包括:
破解单元,用于破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
如上述破解单元,破解网页后门程序的方法包括多种,具体地包括:第一种,因为一句话webshell使用的较多,而且是被他人直接使用,所以其密码也很少被修改,可以使用常见的如admin,123456,admin888等密码进行破解,这样的好处是,如果碰到恰好设为这样密码的一句话webshell,则破解速度快,但是如果网页后门程序的密码为不常见的密码,上述第一种方法则失效。第二种,暴力破解,即利用破解字典的方式进行破解,在这里,暴力破解的速度取决于预设的破解字典的优劣,一本好的破解字典,会大大地提高破解速度,另外,还存在穷举字典,缺点是需要大量的计算和较高的网速,优点是几乎可以破解任何的网页后门程序的密码。在一个具体实施例中,如果网页后门程序被破解,我们可以对网页后门程序进行相关的分析等处理,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究,甚至主动利用被破解的网页后门程序,对目标网站服务器进行相关的测试性试验等。在一个具体实施例中,如果破解失败,则可以将网页后门程序隔离到一个封闭的存储空间,使其无法与外界通讯,以提高目标网站的安全性。
参照图6,在一个实施例中,上述网页后门程序的检测装置,还包括:
判断单元21,用于判断所述目标网站是否设置有防护层;
停止单元22,用于如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
如上述判断单元11和停止单元12所述,上述防护层包括放火墙或者伪装程序等,上述防火墙是一种防护机制,是一种常用的技术,在此不在赘述。检测目标网站是否具有防火墙的方法简单,即发送一个请求,如果请求得不到反馈,则说明与目标网站没有数据交互,进而说明目标网站存在防火墙,防火墙将请求过滤。上述伪装程序即为发给目标网站任何请求,其返回状态码均为200等。上述状态码可以表示请求的状态,本申请使用国际通用的状态码含义,比如状态码为100,表示客户端应当继续发送请求,这个临时响应是用来通知客户端,它的部分请求已经被服务器接收,且仍未被拒绝,客户端应当继续发送请求的剩余部分,或者如果请求已经完成,忽略这个响应,服务器必须在请求完成后向客户端发送一个最终响应;状态码为402,表示该状态码是为了将来可能的需求而预留的等。本实施例中,上述状态码200,表示请求已成功,请求所希望的响应头或数据体将随此响应返回。在一个具体实施例中,首先向目标网站发送一个不会存在文件请求,如果得到的返回状态码是200,则可以确定目标网站设置有伪装程序的防护。当确定目标网站具有防护的时候,则放弃对该目标网站的检测请求,因为其具有防护层,应该是安全的,没有必要浪费资源和时间再次检测;如果没有防护层,则利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述网页后门程序的检测装置,还包括:
重复检测单元,用于标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
如上述重复检测单元,即为预设一个时间间隔,每过指定时间长度,对目标网站进行一次网页后门程序的检测,上述的预设值可以为一天、一星期等。按照一定频率对目标网站进行网页后门程序检测,可以及时了解目标网站的安全性,如果发现网页后门程序的存在,则可以及时进行对应的安全处理措施,将目标网站的安全风险减低。
在一个实施例中,上述网页后门程序的检测装置,还包括:
监听单元,用于监听所述网页后门程序;
追踪单元,用于若所述网页后门程序启动,则根据所述网页后门程序反向追踪所述网页后门程序的客户端。
如上述监听单元和追踪单元所述,当确定目标网站中被植入网页后门程序之后,并不是第一时间将其封闭或杀掉,而是对其进行监听,当网页后门程序启动,则说明网页后门程序对应的客户端对其进行了连接,此时,可以通过网络技术手段,反向追踪客户端,以进行相应的处理措施。比如,使用黑客手段,控制、破坏上述客户端等。
本申请实施例的网页后门程序的检测装置,以查找目标网站中是否存在指定形式的网页文件的形式,来检测目标网站是否存在网页后门程序,充分利用存储指定形式的网页文件的后缀是可以预期的这一条件,使网页后门程序检测更加灵活,而且对检测权限的要求也更低。
参照图7,本发明实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网页后门程序的检测方法的执行程序等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网页后门程序的检测方法。
上述处理器执行的网页后门程序的检测方法,包括:加载目标网站的时候,调用预设的后门程序查找策略;利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;若存在,则判定所述目标网站存在网页后门程序。
在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:利用文件爆破的方式查找目标网站指定形式的网页文件。
在一个实施例中,若查找的网页后门程序属于一句话webshell,则上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤包括:以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述判定所述目标网站存在网页后门程序的步骤之后,包括:破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
在一个实施例中,上述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤之前,包括:判断所述目标网站是否设置有防护层;如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
在一个实施例中,上述判定所述目标网站存在网页后门程序的步骤之后,包括:标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本发明实施例的计算机设备,以查找目标网站中是否存在指定形式的网页文件的形式,来检测目标网站是否存在网页后门程序,充分利用存储指定形式的网页文件的后缀是可以预期的这一条件,使网页后门程序检测更加灵活,而且对检测权限的要求也更低。
本发明一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现网页后门程序的检测方法,包括:加载目标网站的时候,调用预设的后门程序查找策略;利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;若存在,则判定所述目标网站存在网页后门程序。
上述执行的网页后门程序的检测方法,以查找目标网站中是否存在网页后门程序的相关文件的形式,来检测目标网站是否存在网页后门程序,充分利用存储网页后门程序的相关文件的后缀是可以预期的这一条件,使网页后门程序检测更加灵活,而且对检测权限的要求也更低。
在一个实施例中,上述处理器利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述处理器利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:利用文件爆破的方式查找目标网站指定形式的网页文件。
在另一个实施例中,若查找的网页后门程序属于一句话webshell,处理器利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤包括:以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
在一个实施例中,上述处理器判定所述目标网站存在网页后门程序的步骤之后,包括:破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
在一个实施例中,上述处理器利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤之前,包括:判断所述目标网站是否设置有防护层;如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
在一个实施例中,上述处理器判定所述目标网站存在网页后门程序的步骤之后,包括:标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种网页后门程序的检测方法,其特征在于,包括:
加载目标网站的时候,调用预设的后门程序查找策略;
基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
若存在,则判定所述目标网站存在网页后门程序。
2.根据权利要求1所述的网页后门程序的检测方法,其特征在于,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:
利用网络爬虫的方式查找目标网站是否存在指定形式的网页文件。
3.根据权利要求1所述的网页后门程序的检测方法,其特征在于,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤,包括:
利用文件爆破的方式查找目标网站指定形式的网页文件。
4.根据权利要求1所述的网页后门程序的检测方法,其特征在于,若查找的网页后门程序属于一句话webshell,则所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤包括:
以并发的方式,利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件。
5.根据权利要求1所述的网页后门程序的检测方法,其特征在于,所述判定所述目标网站存在网页后门程序的步骤之后,包括:
破解所述网页后门程序,以生成解析报告,所述解析报告用于供研发人员对所述后门程序进行研究。
6.根据权利要求1所述的网页后门程序的检测方法,其特征在于,所述利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件的步骤之前,包括:
判断所述目标网站是否设置有防护层;
如果所述目标网站设置有防护层,则停止对所述目标网站的检测。
7.根据权利要求1所述的网页后门程序的检测方法,其特征在于,所述判定所述目标网站存在网页后门程序的步骤之后,包括:
标记所述网页后门程序检测的结束时间,并以所述结束时间为开始,当时间间隔达到预设值时,则再次对所述目标网站进行网页后门程序检测。
8.一种网页后门程序的检测装置,其特征在于,包括:
调用单元,用于加载目标网站的时候,调用预设的后门程序查找策略;
查找单元,用于利基于所述后门程序查找策略查找目标网站是否存在指定形式的网页文件,其中,指定形式的网页文件包括以asp、php、jsp或者cgi形式存在的网页文件;
判定单元,用于若所述目标网站存在指定形式的网页文件,则判定所述目标网站存在网页后门程序。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810948578.8A CN109194632B (zh) | 2018-08-20 | 2018-08-20 | 网页后门程序的检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810948578.8A CN109194632B (zh) | 2018-08-20 | 2018-08-20 | 网页后门程序的检测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109194632A true CN109194632A (zh) | 2019-01-11 |
| CN109194632B CN109194632B (zh) | 2022-07-15 |
Family
ID=64919029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810948578.8A Active CN109194632B (zh) | 2018-08-20 | 2018-08-20 | 网页后门程序的检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109194632B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103944885A (zh) * | 2014-03-24 | 2014-07-23 | 汉柏科技有限公司 | 控制Web数据上传的方法及网关设备 |
| CN106911635A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN107360189A (zh) * | 2017-08-23 | 2017-11-17 | 杭州安恒信息技术有限公司 | 突破Web防护的漏洞扫描方法及装置 |
| CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
-
2018
- 2018-08-20 CN CN201810948578.8A patent/CN109194632B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297394A (zh) * | 2012-02-24 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 网站安全检测方法和装置 |
| CN103944885A (zh) * | 2014-03-24 | 2014-07-23 | 汉柏科技有限公司 | 控制Web数据上传的方法及网关设备 |
| CN106911635A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
| CN107360189A (zh) * | 2017-08-23 | 2017-11-17 | 杭州安恒信息技术有限公司 | 突破Web防护的漏洞扫描方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109194632B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10951636B2 (en) | Dynamic phishing detection methods and apparatus | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| Singh et al. | Phishing detection from URLs using deep learning approach | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| CN109067780A (zh) | 爬虫用户的检测方法、装置、计算机设备和存储介质 | |
| CN101490685A (zh) | 提高浏览网页的用户机的安全等级的方法 | |
| Singh et al. | Taxonomy of attacks on web based applications | |
| CN109067813A (zh) | 网络漏洞检测方法、装置、存储介质和计算机设备 | |
| CN109768992A (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN102045319A (zh) | Sql注入攻击检测方法及其装置 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| Iliou et al. | Hybrid focused crawling on the Surface and the Dark Web | |
| CN109412896A (zh) | 上传功能的测试方法、装置、计算机设备和存储介质 | |
| China | NoSQL injection: data security on web vulnerability | |
| CN108834147A (zh) | 检验WiFi密码安全性方法、装置、计算机设备以及存储介质 | |
| CN112966194A (zh) | 一种检验二维码的方法和系统 | |
| CN104618176B (zh) | 网站安全检测方法及装置 | |
| Bercovitz | LAW ENFORCEMENT HACKING | |
| CN109194632A (zh) | 网页后门程序的检测方法、装置、计算机设备和存储介质 | |
| CN117336098A (zh) | 一种网络空间数据安全性监测分析方法 | |
| El Moussaid et al. | Web application attacks detection: A survey and classification | |
| Joshi et al. | Encountering sql injection in web applications | |
| CN112217815A (zh) | 钓鱼网站的识别方法、装置和计算机设备 | |
| Sharma | A Study of Vulnerability Scanners for Detecting SQL Injection and XSS Attack in Websites |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |