CN114626061A - 网页木马检测的方法、装置、电子设备及介质 - Google Patents

网页木马检测的方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN114626061A
CN114626061A CN202011468408.3A CN202011468408A CN114626061A CN 114626061 A CN114626061 A CN 114626061A CN 202011468408 A CN202011468408 A CN 202011468408A CN 114626061 A CN114626061 A CN 114626061A
Authority
CN
China
Prior art keywords
function
morpheme
variables
input data
morpheme unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011468408.3A
Other languages
English (en)
Inventor
闫雪
齐向东
吴云坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202011468408.3A priority Critical patent/CN114626061A/zh
Publication of CN114626061A publication Critical patent/CN114626061A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

一种网页木马检测的方法、装置、电子设备及介质,上述方法包括:对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。上述方法还包括:对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,上述危险函数为能够执行系统命令或解释执行代码的特殊功能函数。上述方法还包括:如果存在包含外部输入数据的特定关联变量,则判定目标网页文件为网页木马。无论攻击者对网页木马的文件内容进行何种形式的变形,采用本公开的方法能够对变形后的网页木马文件检测出来,在不侵入用户进程的情况下可以实现较好的网页木马检测效果。

Description

网页木马检测的方法、装置、电子设备及介质
技术领域
本公开涉及网络安全技术领域,更具体地,涉及一种网页木马检测的方法、装置、电子设备及介质。
背景技术
网页木马(webshell)是攻击者利用脚本语言在网络服务器中所留的后门,网页木马实质上是一种网页文件,是表面上伪装成普通的网页文件或者将恶意的代码直接插入到正常的网页文件中,当有用户访问该网页文件时,会利用对方系统或浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
在实现本公开构思的过程中,发明人发现现有技术中至少存在如下问题:目前对网页木马的检测可分为特征检测和行为检测两大类。特征检测的缺陷是被攻击者容易通过对木马的内容进行变形的形式绕过。行为检测一般需要在受保护主机网络服务器中安装插件拦截攻击或放入虚拟机中执行,在受保护主机网络服务器中安装插件拦截攻击的方式会影响网络服务器运行效率及稳定性,在虚拟机中执行的方式容易被攻击者绕过沙箱,导致更大的危害。
发明内容
有鉴于此,本公开提供了一种网页木马检测的方法、装置、电子设备及介质。
本公开的第一个方面提供了一种网页木马检测的方法。上述方法包括:对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。上述方法还包括:对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,上述危险函数为能够执行系统命令或解释执行代码的特殊功能函数。上述方法还包括:如果存在包含外部输入数据的特定关联变量,则判定目标网页文件为网页木马。
根据本公开的实施例,对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列,包括:确定所检测的目标网页文件的编程语言类型;以及根据目标网页文件的编程语言类型对目标网页文件进行词法分析,以将目标网页文件的脚本语言源代码切分为词素单元序列。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:在词素单元序列中确定特定词素单元,特定词素单元为包含危险函数调用的词素单元;在特定词素单元中确定参与危险函数调用的目标变量;在特定词素单元的前序单元中查找目标变量的关联变量;递归查找所有关联变量;以及确定所有关联变量中是否存在包含外部输入数据的特定关联变量。
根据本公开的实施例,对所检测的目标网页文件进行词法分析,包括:如果目标网页文件存在注释内容,则将注释内容进行存储,并对去除注释内容之后的目标网页文件进行词法分析。对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果关联变量中存在反射获取注释的变量,则将存储的注释内容重新加载;以及对重新加载的注释内容进行词法分析和处理,以确定注释内容是否包含外部输入数据。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在字符串相关的操作函数,则模拟执行操作函数以及字符串拼接操作,生成拼接后的字符串;确定拼接后的字符串中是否包含危险函数,危险函数为以下函数的至少一种:eval函数、assert函数、passthru函数、exec函数、proc_open函数、shellexec函数及system函数;如果拼接后的字符串中包含危险函数,则确定包含危险函数的词素单元为特定词素单元;以及对特定词素单元进行进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在用户自定义函数,则在每次用户自定义函数被调用时基于传入的参数对用户自定义函数内部变量重新赋值,并逆向追踪自定义函数的关联变量,确定关联变量中是否存在包含外部输入数据的特定关联变量。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在反序列化函数,则对反序列化函数传入的变量进行逆向追踪和拼接,以确定是否存在用户自定义类;如果词素单元序列中存在用户自定义类,则对用于处理用户自定义类的魔术函数在新建和删除的时机进行追踪查找,以确定魔术函数是否包含外部输入数据。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在回调函数,则根据回调函数的传入形式对回调函数分别进行逆向追踪处理,以确定回调函数的关联变量中是否存在包含外部输入数据的特定关联变量。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在动态变量函数,则提取动态变量函数的变量,并对动态变量函数的变量进行逆向追踪,以确定动态变量函数的变量来源是否为外部输入数据。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在文件包含类函数,则根据文件包含类函数所包含的关联文件进行逆向追踪查找,以确定关联文件是否包含外部输入数据。
本公开的第二个方面提供了一种网页木马检测的装置。上述装置包括:词法分析模块、逆向追踪模块以及网页文件判定模块。词法分析模块用于对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。逆向追踪模块用于对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,危险函数为能够执行系统命令或解释执行代码的特殊功能函数。网页文件判定模块用于在存在包含外部输入数据的特定关联变量的情况下,判定目标网页文件为网页木马。
本公开的第三个方面提供了一种电子设备。上述电子设备包括:一个或多个处理器;以及用于存储一个或多个程序的存储装置。其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的任一种方法。
本公开的第四个方面提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有可执行指令,该指令被处理器执行时使处理器实现如上所述的任一种方法。
本公开的第五个方面提供了一种计算机程序产品。上述计算机程序产品包含计算机执行指令,该指令被执行后用于实现如上所述的任一种方法。
根据本公开的实施例,通过对目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列,能够准确地获取每个词素单元及其执行序列,对词素单元序列中包含危险函数调用的特定词素单元进行逆向追踪,递归查找所有的关联变量,通过确定关联变量是否包含外部输入数据来判定目标网页文件是否为网页木马,无论攻击者对网页木马的文件内容进行何种形式的变形,木马的执行逻辑是无法改变的,这样各种变形形式的网页木马均能够被查找出来,在不侵入用户进程的情况下可以实现较好的网页木马检测效果,并大幅度减少由于攻击者对网页木马的文件内容进行变形导致的检测失败的概率,同时还避免了在沙箱中实际执行脚本文件导致导致的沙箱逃逸安全风险,并且检测效率更高。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的网页木马检测的方法的系统架构;
图2示意性示出了根据本公开实施例的网页木马检测的方法的流程图;
图3示意性示出了根据本公开实施例的操作S11的详细实施流程图;
图4示意性示出了根据本公开实施例的操作S12的详细实施流程图;
图5示意性示出了根据本公开实施例的网页木马检测的装置的结构框图;
图6示意性示出了根据本公开实施例的逆向追踪模块的结构框图;以及
图7示意性示出了根据本公开实施例的电子设备的结构框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种网页木马检测的方法、装置、电子设备及介质,上述网页木马检测的方法中,对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。接着,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量。上述危险函数为能够执行系统命令或解释执行代码的特殊功能函数。如果存在包含外部输入数据的特定关联变量,则判定目标网页文件为网页木马。
图1示意性示出了根据本公开实施例的网页木马检测的方法的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
参照图1所示,根据该实施例的系统架构1可以包括终端设备10,网络11和服务器12。网络11用以在终端设备10和服务器12之间提供通信链路的介质。网络11可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备10通过网络11与服务器12交互,以接收或发送网页内容或信息等。终端设备10上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备10可以是具有显示屏并且支持网页浏览的各种电子设备,例如终端设备为图1所示例的智能手机101、平板电脑102或笔记本电脑103,或者为台式计算机、智能手表等其他类型的电子设备等。
服务器12可以是提供各种服务的服务器,例如对用户利用终端设备10所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的网页木马检测的方法一般可以由终端设备10执行。相应地,本公开实施例所提供的网页木马检测的装置一般可以设置于终端设备10中。应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
本公开的第一个示例性实施例提供了一种网页木马检测的方法。该方法可以针对多个网页文件中的一个目标网页文件进行检测。
图2示意性示出了根据本公开实施例的网页木马检测的方法的流程图。
参照图2所示,本实施例的网页木马检测的方法包括以下操作:S11、S12和S13a。
在操作S11,对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。
在操作S12,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量。上述危险函数为能够执行系统命令或解释执行代码的特殊功能函数。
在操作S13a,如果存在包含外部输入数据的特定关联变量,则判定目标网页文件为网页木马。
参照图2所示,上述方法还包括操作S13b,如果关联变量中不存在包含外部输入数据的特定关联变量,则判定目标网页文件为正常文件。
上述实施例中,通过对目标网页文件进行词法分析,将目标网页文件切分为词素单元序列,能够准确地获取每个词素单元及其执行序列,对词素单元序列中包含危险函数调用的特定词素单元进行逆向追踪,递归查找所有的关联变量,通过确定关联变量是否包含外部输入数据来判定目标网页文件是否为网页木马,无论攻击者对网页木马的文件内容进行何种形式的变形,木马的执行逻辑是无法改变的,这样各种变形形式的网页木马均能够被查找出来,在不侵入用户进程的情况下可以实现较好的网页木马检测效果,并大幅度减少由于攻击者对网页木马的文件内容进行变形导致的检测失败的概率,同时还避免了在沙箱中实际执行脚本文件导致导致的沙箱逃逸安全风险,并且检测效率更高。
图3示意性示出了根据本公开实施例的操作S11的详细实施流程图。
根据本公开的实施例,对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列的操作包括以下子操作:S111和S112。
在子操作S111,确定所检测的目标网页文件的编程语言类型。
在子操作S112,根据目标网页文件的编程语言类型对目标网页文件进行词法分析,以将目标网页文件的脚本语言源代码切分为词素单元序列。
目标网页文件的编程语言类型包括但不限于以下语言中的一种:超级文本预处理语言(PHP)、Java、JSP、ASP、JavaScript、VBScript、Python等。
根据目标网页文件的语言类型采用不同的方式对目标网页文件进行词法分析,从而可以将目标网页文件的脚本语言源代码切分为词素单元序列。本公开中,针对不同的语言类型的目标网页文件进行词法分析的方式可以采用现有的词法分析方式。例如可以由词法分析器实现上述子操作S112,词法分析器可以由re2c来进行构建。re2c表示将正则化表达式转化成C语言或C++代码的形式的一种处理器/处理方式。
例如,针对PHP类型的目标网页文件进行词法分析之后,将脚本语言源代码切分为多个按特定顺序排列的字符串单元,本公开中将各种语言类型的脚本语言源代码进行切分之后得到的单元统称为词素(token)单元。
相关技术中,在PHP语言中,一个个独立的词素单元无法完整表达语义,需要经过语法分析/解析阶段,将token单元转换为抽象语法树(AST),之后抽象语法树被转换为机器指令被执行。而在本公开的网页木马检测方法中,只需要对目标网页文件进行词法分析,将目标网页文件的脚本语言源代码切分为词素单元即可,而无需做进一步的语法解析来获取抽象语法树,因此可以减少对执行系统的性能消耗,执行系统例如为要加载目标网页文件的终端设备,在该终端设备加载目标网页文件之前,预先基于上述网页木马检测的方法对目标网页文件进行检测,在判定目标网页文件为正常文件的情况下再对目标网页文件进行加载。
图4示意性示出了根据本公开实施例的操作S12的详细实施流程图。
根据本公开的实施例,参照图4所示,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,并确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括以下子操作:S121、S122、S123、S124和S125。
在子操作S121,在词素单元序列中确定特定词素单元,特定词素单元为包含危险函数调用的词素单元。
危险函数为能够执行系统命令或解释执行代码的特殊功能函数。例如包括但不限于以下函数:eval函数、system函数、passthru函数、exec函数、proc_open函数、shellexec函数或者assert函数等。
在子操作S122,在特定词素单元中确定参与危险函数调用的目标变量。
在子操作S123,在特定词素单元的前序单元中查找目标变量的关联变量。
在子操作S124,递归查找所有关联变量。
在子操作S125,确定所有关联变量中是否存在包含外部输入数据的特定关联变量。
示例性的,在一实例中,例如目标网页文件的脚本语言源代码为以下形式:
Figure BDA0002834142730000102
在对上述目标网页文件进行词法分析,将目标网页文件的脚本语言源代码切分为词素单元序列后,得到以下形式的词素单元序列:
Figure BDA0002834142730000101
Figure BDA0002834142730000111
其中,每行表示一个词素单元或者称为词素语句,每个词素单元/每句词素语句中,前面是词素(token),后面是参数。
在词素单元序列中,有多种功能的词素,例如:函数调用的词素、赋值的词素等等,通过在函数调用的词素中查找调用危险函数的词素得到特定词素单元。
本公开中,关联变量是与目标变量相关联的变量,这种关联性体现在上述目标网页文件在执行危险函数调用过程都进行参与的变量。即,关联变量为所述目标变量在执行危险函数调用操作中都参与的变量。例如,在目标网页文件经过词法分析得到的上述形式的词素单元序列中,确定了包含危险函数调用的特定词素单元为:INCLUDE_OR_EVAL!1,EVAL之后,获取到参与危险函数EVAL调用的目标变量为:!1,而目标变量!1在执行危险函数调用的过程中所涉及到的关联变量依次递归查找得到:目标变量!1的关联变量为:$5,$5的关联变量为:$3,$3的关联变量为:$2,以及$2的关联变量为:_GET,由此可以递归查找到所有的关联变量。
具体而言,实施上述子操作S121,在上述词素单元序列里面搜索包含危险函数调用的特定词素单元,可以找到INCLUDE_OR_EVAL!1,EVAL,接着,可以实施子操作S122,在特定词素单元INCLUDE_OR_EVAL!1,EVAL中获取参与危险函数调用的目标变量为:!1。
然后实施子操作S123,在这个词素单元INCLUDE_OR_EVAL!1,EVAL的前序单元中查找目标变量的关联变量,即,可以在INCLUDE_OR_EVAL!1,EVAL前面的所有词素单元里面找包含目标变量!1以及与目标变量!1相关的变量,例如本实例中在ASSIGN!1,$5这句可以找到目标变量!1,并且该词素单元ASSIGN!1,$5前面的语句是DO_ICALL$5、SEND_VAR!0和INIT_FCALL′base64_decode′,再前面是base64_decode的参数赋值语句ASSIGN!0,$3,SEND_VAR!0是把$3赋值过的变量!0传递给base64_decode函数,于是在前序单元中就找到目标变量的关联变量$3,然后再以此类推,实施子操作S124,递归查找所有关联变量,进而找到$3的关联变量$2,最后找到$2是来源于_GET。实施子操作S125,确定所有关联变量中是否存在包含外部输入数据的特定关联变量,经过判定_GET为外部输入数据,或者称为用户输入变量,则由此可以判定此目标网页文件为网页木马。
上述实例为一个最简单的关联变量查找的例子,要查找的目标网页文件是顺序的、无分支的。实际上,基于本公开的网页木马检测的方法适用于包含一些条件分支、函数调用、类调用等复杂构成形式的目标网页文件进行检测。在查找时,需要查找在包含危险函数调用的特定词素单元前面的所有可能执行到的语素单元。
外部输入数据包括:查询字符串数据(QUERYSTRING)、POST数据或者用户客户端认证信息数据(COOKIE数据)等。
在创建一个http请求之后,会指定使用GET、POST、UPDATE、DELETE等方法,以及请求的URL地址。对于POST而言,数据是放在消息主体中,但是并没有规定必须使用什么编码,可以由用户自己决定消息主体的格式。POST提交数据时,一般涉及到内容类型(Content-Type)和消息主体编码方式两部分
上述操作S12中,词素单元序列可以包含不同内容的结构形式,例如包括以下内容的至少一种:字符串、函数、类等。类的定义包含了数据的形式以及对数据的操作。类可以是用户自定义类。
函数可以是各种形式和类型的函数,比如,可以是用户自定义函数,还可以是用于处理类的魔术(magic)函数,包括构造函数、析构函数和_invoke函数等。_invoke函数的作用/功能为:当尝试以调用函数的方式调用一个对象时,_invoke函数方法会被自动调用。还可以是回调函数,回调函数例如为以下函数的一种:array_map函数、usort函数、array_filter函数、register_shutdown_function函数等。还可以是动态变量函数,例如$a($b)。
本公开中采用的逆向追踪方法不同于传统的污点追踪方法,是通过将经过词法分析之后生成的词素单元序列,按照程序执行逻辑的顺序,从后到前依次分析所有关联变量的来源。而不需要对输入参数变量本身做污点标记,从而避免了某些特殊情况下标记失败的风险。经过逆向追踪之后如果能找到关联变量中存在外部输入数据,就证明目标网页文件为网页木马,如果所有关联变量都不是来自于HTTP输入,则目标网页文件为正常文件。
下面针对包含不同内容的结构形式的词素单元序列进行逆向追踪的方式进行示例性描述。
根据本公开的实施例,对所检测的目标网页文件进行词法分析包括:如果目标网页文件存在注释内容,则将注释内容进行存储,并对去除注释内容之后的目标网页文件进行词法分析。
对应的,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括:如果关联变量中存在反射获取注释的变量,则将存储的注释内容重新加载;以及对重新加载的注释内容进行词法分析和处理,以确定注释内容是否包含外部输入数据。
在PHP语言中,反射获取注释的变量例如为以下变量形式:ReflectionClass::getDocComment。
PHP语言中,可以利用ReflectionClass::getDocComment获取脚本语言源文件中的注释内容,并传入危险函数导致危险行为,因此需要在关联变量中存在反射获取注释的变量的情况下,将操作S11中进行词法分析切分得到词素单元序列的过程中去除掉的注释内容重新加载;并且对重新加载的注释内容进行词法分析和处理,以确定注释内容是否包含外部输入数据,这样的方式避免了文档注释内容绕过检测导致的风险。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括:如果词素单元序列中存在字符串相关的操作函数,则模拟执行操作函数以及字符串拼接操作,生成拼接后的字符串。然后,确定拼接后的字符串中是否包含危险函数。危险函数为以下函数的至少一种:eval函数、assert函数、passthru函数、exec函数、proc_open函数、shellexec函数及system函数。如果拼接后的字符串中包含危险函数,则确定包含危险函数的词素单元为特定词素单元。接着,对特定词素单元进行进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量。
evel函数把字符串作为PHP代码执行。由于evel函数允许执行任意PHP代码,由用户提供的、未经完整验证过的外部输入数据生成的字符串可能存在潜在风险。
assert函数为断言函数,会检查指定的断言(assertion)并在结果为FALSE时采取适当的行动。断言这个功能应该只被用来调试。
system、passthru、exec、proc_open、shellexec等函数执行外部程序,并且显示输出。如果外部命令执行成功则返回命令输出的最后一行,执行失败则返回FALSE。
该实施例中,字符串相关的操作函数包括以下函数的至少一种:str_replace、strtr、str_rot13、base64_decode和chr。
str_replace函数表示使用一个字符串替换字符串中的另一些字符。str_replace函数的形式为:str_replace(find,replace,string)或者为str_replace(find,replace,string,count),其中find表示规定要查找的值,replace表示规定替换find值的值,string表示规定被搜索的字符串,count在上述str_replace函数中是可选的参数,count表示对替换数进行计数的变量。
strtr函数表示转换字符串中特定的字符。strtr函数的形式为:strtr(string,from,to)或者为strtr(string,array),其中如果from和to参数的长度不同,则格式化为最短的长度。string表示规定要转换的字符串。from表示规定要改变的字符。to表示规定要变成的字符。array表示一个数组,其中的键名是原始字符,键值是目标字符。
str_rot13函数表示对字符串执行ROT13编码,ROT13编码是把每一个字母在字母表中向前移动13个字母得到,数字和非字母字符保持不变。
base64_decode函数表示对使用MIME base64编码的数据进行解码。base64_encode函数表示字符串使用MIME base64进行编码。
chr函数表示从指定的ASCII值返回字符,ASCII值可被指定为十进制值、八进制值或十六进制值。八进制值被定义为带前置0,而十六进制值被定义为带前置0x。
字符串拼接的功能可以由字符串连接符实现。示例性的,在PHP中可以使用字符串连接符“.”或者赋值运算符“.=”进行字符串拼接。
模拟执行上述字符串相关的操作函数以及字符串拼接等操作,生成拼接后的字符串。
eval函数、assert函数、passthru函数、exec函数、proc_open函数、shellexec函数及system函数作为危险函数的示例,任何能够执行系统命令或解释执行代码的特殊功能函数均在危险函数的保护范围之内。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括:如果词素单元序列中存在用户自定义函数,则在每次用户自定义函数被调用时基于传入的参数对用户自定义函数内部变量重新赋值,并逆向追踪自定义函数的关联变量,确定关联变量中是否存在包含外部输入数据的特定关联变量。此外,上述操作S12还包括对匿名函数的提取处理操作,以确定匿名函数中是否存在外部输入数据。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括:如果词素单元序列中存在反序列化函数,则对反序列化函数传入的变量进行逆向追踪和拼接,以确定是否存在用户自定义类;如果词素单元序列中存在用户自定义类,则对用于处理用户自定义类的魔术函数在新建和删除的时机进行追踪查找,以确定魔术函数是否包含外部输入数据。
serialize函数是把变量和它们的值编码成文本形式,即产生一个可存储的值的表示。反序列化(unserialize)函数是对单一的已序列化的变量进行操作,将其转换回PHP的值。通过对反序列化函数传入的变量进行逆向追踪和拼接,以确定是否存在用户自定义类的类名。
如果词素单元序列中存在用户自定义类,基于词法分析可以将每个用户自定义类分解为词素单元序列,对成员变量分别进行提取保存。由于用于处理类的魔术函数,诸如构造函数、析构函数和_invoke函数等,不存在显示调用,因此本公开通过在新建(new)和删除(delete)的时机对魔术函数进行追踪和查找,以免由于隐式的调用魔术函数的过程中导致的危险,这样的话在处理用户自定义类而调用魔术函数的时候可以针对魔术函数进行追踪,以确定魔术函数是否包含外部输入数据,从而提升木马检测的准确度。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量的操作S12包括:如果词素单元序列中存在回调函数,则根据回调函数的传入形式对回调函数分别进行逆向追踪处理,以确定回调函数的关联变量中是否存在包含外部输入数据的特定关联变量。
回调函数例如为以下函数的一种:array_map函数、usort函数、array_filter函数、register_shutdown_function函数等,回调函数的传入方式不同,有的回调函数以函数变量的方式传入,有的回调函数的函数名是以字符串的方式传入,需要根据回调函数的传入形式不同,针对性进行逆向追踪处理,以防止函数变量与字符串拼接导致的检测失败的问题。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在动态变量函数,则提取动态变量函数的变量,并对动态变量函数的变量进行逆向追踪,以确定动态变量函数的变量来源是否为外部输入数据。
通过对动态变量函数的变量来源进行追踪,以辨识各种形式的潜在木马风险。
根据本公开的实施例,对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:如果词素单元序列中存在文件包含类函数,则根据文件包含类函数所包含的关联文件进行逆向追踪查找,以确定关联文件是否包含外部输入数据。
文件包含类函数例如为:include函数或require函数,通过对文件包含类函数所包含的关联文件进行逆向追踪查找,例如可以在磁盘中查找关联文件,进而确定关联文件中是否包含外部输入数据。
基于上述有关操作S12的示例性介绍可知,无论攻击者对网页木马的文件内容进行何种形式的变形,木马的执行逻辑是无法改变的,这样各种变形形式的网页木马均能够通过逆向追踪被查找出来,在不侵入用户进程的情况下可以实现较好的网页木马检测效果,并大幅度减少由于攻击者对网页木马的文件内容进行变形导致的检测失败的概率,同时还避免了在沙箱中实际执行脚本文件导致导致的沙箱逃逸安全风险,并且检测效率更高。
本公开的第二个示例性实施例提供了一种网页木马检测的装置。
图5示意性示出了根据本公开实施例的网页木马检测的装置的结构框图。
参照图5所示,本实施例的网页木马检测的装置2包括:词法分析模块21、逆向追踪模块22以及网页文件判定模块23。
词法分析模块21用于对所检测的目标网页文件进行词法分析,以将目标网页文件切分为词素单元序列。
逆向追踪模块22用于对词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,危险函数为能够执行系统命令或解释执行代码的特殊功能函数。
网页文件判定模块23用于在存在包含外部输入数据的特定关联变量的情况下,判定目标网页文件为网页木马。
图6示意性示出了根据本公开实施例的逆向追踪模块的结构框图。
参照图6所示,上述逆向追踪模块22包括以下子模块:特定词素单元确定子模块221、目标变量确定子模块222以及关联变量查找子模块223。
特定词素单元确定子模块221用于在词素单元序列中确定特定词素单元,特定词素单元为包含危险函数调用的词素单元。
目标变量确定子模块222用于在特定词素单元中确定参与危险函数调用的目标变量。
关联变量查找子模块223用于在特定词素单元的前序单元中查找目标变量的关联变量,递归查找所有关联变量,以及确定所有关联变量中是否存在包含外部输入数据的特定关联变量。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,词法分析模块21、逆向追踪模块22以及网页文件判定模块23中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,词法分析模块21、逆向追踪模块22以及网页文件判定模块23中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,词法分析模块21、逆向追踪模块22以及网页文件判定模块23中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
本公开的第三个示例性实施例提供了一种电子设备。上述电子设备包括:一个或多个处理器;以及用于存储一个或多个程序的存储装置。其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的任一种方法。
图7示意性示出了根据本公开实施例的电子设备的结构框图。
参照图7所示,根据本公开实施例的电子设备3包括处理器301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储部分308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。处理器301例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器301还可以包括用于缓存用途的板载存储器。处理器301可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 303中,存储有电子设备3操作所需的各种程序和数据。处理器301、ROM 302以及RAM 303通过总线304彼此相连。处理器301通过执行ROM 302和/或RAM 303中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM302和RAM 303以外的一个或多个存储器中。处理器301也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备3还可以包括输入/输出(I/O)接口305,输入/输出(I/O)接口305也连接至总线304。电子设备3还可以包括连接至I/O接口305的以下部件中的一项或多项:包括键盘、鼠标等的输入部分306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分307;包括硬盘等的存储部分308;以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入存储部分308。
本公开的第四个示例性实施例提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有可执行指令,该指令被处理器执行时使处理器实现如上所述的任一种方法。
该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 302和/或RAM 303和/或ROM 302和RAM 303以外的一个或多个存储器。
本公开的第五个示例性实施例提供了一种计算机程序产品。上述计算机程序产品包含计算机执行指令,该指令被执行后用于实现如上所述的任一种方法。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分309从网络上被下载和安装,和/或从可拆卸介质311被安装。在该计算机程序被处理器301执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (14)

1.一种网页木马检测的方法,包括:
对所检测的目标网页文件进行词法分析,以将所述目标网页文件切分为词素单元序列;
对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,所述危险函数为能够执行系统命令或解释执行代码的特殊功能函数;以及
如果存在包含外部输入数据的特定关联变量,则判定所述目标网页文件为网页木马。
2.根据权利要求1所述的方法,其中,所述对所检测的目标网页文件进行词法分析,以将所述目标网页文件切分为词素单元序列,包括:
确定所检测的目标网页文件的编程语言类型;以及
根据所述目标网页文件的编程语言类型对所述目标网页文件进行词法分析,以将所述目标网页文件的脚本语言源代码切分为词素单元序列。
3.根据权利要求1所述的方法,其中,所述对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
在所述词素单元序列中确定特定词素单元,所述特定词素单元为包含危险函数调用的词素单元;
在所述特定词素单元中确定参与危险函数调用的目标变量;
在所述特定词素单元的前序单元中查找目标变量的关联变量;
递归查找所有关联变量;以及
确定所有关联变量中是否存在包含外部输入数据的特定关联变量。
4.根据权利要求1所述的方法,其中,
所述对所检测的目标网页文件进行词法分析,包括:
如果所述目标网页文件存在注释内容,则将所述注释内容进行存储,并对去除注释内容之后的目标网页文件进行词法分析;
所述对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果关联变量中存在反射获取注释的变量,则将存储的注释内容重新加载;以及
对重新加载的注释内容进行词法分析和处理,以确定注释内容是否包含外部输入数据。
5.根据权利要求1所述的方法,其中,所述对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果词素单元序列中存在字符串相关的操作函数,则模拟执行所述操作函数以及字符串拼接操作,生成拼接后的字符串;
确定所述拼接后的字符串中是否包含危险函数,所述危险函数为以下函数的至少一种:eval函数、assert函数、passthru函数、exec函数、proc_open函数、shellexec函数及system函数;
如果拼接后的字符串中包含危险函数,则确定包含危险函数的词素单元为特定词素单元;以及
对特定词素单元进行进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量。
6.根据权利要求1所述的方法,其中,所述对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果所述词素单元序列中存在用户自定义函数,则在每次用户自定义函数被调用时基于传入的参数对用户自定义函数内部变量重新赋值,并逆向追踪自定义函数的关联变量,确定自定义函数的关联变量中是否存在包含外部输入数据的特定关联变量。
7.根据权利要求1所述的方法,其中,对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果所述词素单元序列中存在反序列化函数,则对所述反序列化函数传入的变量进行逆向追踪和拼接,以确定是否存在用户自定义类;
如果所述词素单元序列中存在用户自定义类,则对用于处理用户自定义类的魔术函数在新建和删除的时机进行追踪查找,以确定魔术函数是否包含外部输入数据。
8.根据权利要求1所述的方法,其中,对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果所述词素单元序列中存在回调函数,则根据回调函数的传入形式对回调函数分别进行逆向追踪处理,以确定回调函数的关联变量中是否存在包含外部输入数据的特定关联变量。
9.根据权利要求1所述的方法,其中,对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果所述词素单元序列中存在动态变量函数,则提取所述动态变量函数的变量,并对动态变量函数的变量进行逆向追踪,以确定所述动态变量函数的变量来源是否为外部输入数据。
10.根据权利要求1所述的方法,其中,对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,包括:
如果所述词素单元序列中存在文件包含类函数,则根据文件包含类函数所包含的关联文件进行逆向追踪查找,以确定关联文件是否包含外部输入数据。
11.一种网页木马检测的装置,包括:
词法分析模块,用于对所检测的目标网页文件进行词法分析,以将所述目标网页文件切分为词素单元序列;
逆向追踪模块,用于对所述词素单元序列中包含危险函数调用的特定词素单元进行关联变量的逆向追踪查找,以确定关联变量中是否存在包含外部输入数据的特定关联变量,所述危险函数为能够执行系统命令或解释执行代码的特殊功能函数;以及
网页文件判定模块,用于在存在包含外部输入数据的特定关联变量的情况下,判定所述目标网页文件为网页木马。
12.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1-10中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1-10中任一项所述的方法。
14.一种计算机程序产品,包含计算机执行指令,该指令被执行后用于实现权利要求1-10中任一项所述的方法。
CN202011468408.3A 2020-12-14 2020-12-14 网页木马检测的方法、装置、电子设备及介质 Pending CN114626061A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011468408.3A CN114626061A (zh) 2020-12-14 2020-12-14 网页木马检测的方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011468408.3A CN114626061A (zh) 2020-12-14 2020-12-14 网页木马检测的方法、装置、电子设备及介质

Publications (1)

Publication Number Publication Date
CN114626061A true CN114626061A (zh) 2022-06-14

Family

ID=81897378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011468408.3A Pending CN114626061A (zh) 2020-12-14 2020-12-14 网页木马检测的方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN114626061A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115576603A (zh) * 2022-11-23 2023-01-06 云账户技术(天津)有限公司 一种获取代码片段中的变量值的方法及装置
CN116028929A (zh) * 2023-01-19 2023-04-28 安芯网盾(北京)科技有限公司 基于Linux内核的无文件攻击的检测方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115576603A (zh) * 2022-11-23 2023-01-06 云账户技术(天津)有限公司 一种获取代码片段中的变量值的方法及装置
CN115576603B (zh) * 2022-11-23 2023-03-10 云账户技术(天津)有限公司 一种获取代码片段中的变量值的方法及装置
CN116028929A (zh) * 2023-01-19 2023-04-28 安芯网盾(北京)科技有限公司 基于Linux内核的无文件攻击的检测方法及装置
CN116028929B (zh) * 2023-01-19 2023-08-22 安芯网盾(北京)科技有限公司 基于Linux内核的无文件攻击的检测方法及装置

Similar Documents

Publication Publication Date Title
US10089464B2 (en) De-obfuscating scripted language for network intrusion detection using a regular expression signature
US8286250B1 (en) Browser extension control flow graph construction for determining sensitive paths
US11237844B2 (en) Method and apparatus for loading kernel module
CN102542201B (zh) 一种网页中恶意代码的检测方法及系统
CN108090351B (zh) 用于处理请求消息的方法和装置
CN111163095B (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
US11216554B2 (en) Determining apparatus, determining method, and determining program
CN111163094B (zh) 网络攻击检测方法、网络攻击检测装置、电子设备和介质
CN111314388B (zh) 用于检测sql注入的方法和装置
US10691798B2 (en) Analysis device, analysis method, and analysis program
JP7231664B2 (ja) 脆弱性特徴の取得方法、装置及び電子機器
CN103559447A (zh) 一种基于病毒样本特征的检测方法、检测装置及检测系统
CN114626061A (zh) 网页木马检测的方法、装置、电子设备及介质
CN114398673A (zh) 应用程序的合规检测方法、装置、存储介质与电子设备
US9398041B2 (en) Identifying stored vulnerabilities in a web service
CN112231696A (zh) 恶意样本的识别方法、装置、计算设备以及介质
CN116167057A (zh) 基于关键代码语义检测的代码动态安全加载方法及装置
CN113535568B (zh) 应用部署版本的验证方法、装置、设备和介质
Gupta et al. POND: polishing the execution of nested context-familiar runtime dynamic parsing and sanitisation of XSS worms on online edge servers of fog computing
CN116611065B (zh) 脚本的检测方法、深度学习模型的训练方法及装置
CN114679321B (zh) 一种ssti漏洞的检测方法、装置及介质
CN113760706B (zh) 网页调试方法及装置
CN117278623A (zh) 请求数据的处理方法、装置、计算机设备及存储介质
CN115828265A (zh) 源码跨站脚本漏洞检测方法、装置、电子设备及存储介质
CN115391781A (zh) 恶意攻击识别方法、系统、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Country or region after: China

Address after: 100097 No. 202, 203, 205, 206, 207, 208, 2nd floor, block D, No. 51, Kunming Hunan Road, Haidian District, Beijing

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Applicant after: QAX Technology Group Inc.

Address before: 100097 No. 202, 203, 205, 206, 207, 208, 2nd floor, block D, No. 51, Kunming Hunan Road, Haidian District, Beijing

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

Country or region before: China

Applicant before: QAX Technology Group Inc.