webshell實際上就是網頁后門,本質上是一種網頁,但不具有網頁的功能,如登錄,注冊,信息展示等。
一般有 ASP,ASP.NET,JSP,PHP等語言開發。
webshell一般具備文件管理,端口掃描,提權,獲取系統信息等功能。
擁有比較完整功能的webshell一般稱為大馬,功能簡單的webshell就叫小馬。
小馬執行功能時需要將代碼傳到服務端,功能分裝在客戶端。
大馬自身中封裝了很多功能,只需要傳遞參數,即可執行對應的功能,例如端口掃描,反彈shell等。
除此之外,還有 木馬,菜刀馬,脫庫馬等對webshell特性或者功能的簡稱。
webshell常見檢測方式:
靜態檢測:通過匹配特征碼、特征值、危險函數來查找webshell,但只能查找已知的webshell。主流的檢測方法有關鍵字檢查(Keywords Matching)、審核代碼邏輯(Code Logic Review)等。
動態檢測:webshell在執行時表現出來的特征,我們稱為動態特征。主流的檢測方法有文件狀態對比(File Info Comparison)、運行特征(Feature Matching)、訪問行為檢測(Access Behavior)等。
注:常見檢測方式摘自 盛邦安全 https://mp.weixin.qq.com/s/N-qfuoSpGa-0M1C123e-6g
參考: https://blog.csdn.net/weixin_43148062/article/details/105721775