一个巧妙地伪装(令人恐惧)几乎无法检测到的利用。沃尔夫冈·埃特林格(Wolfgang Ettlinger)提出了一个问题:如果后门从字面上看不见,即使是最彻底的代码评论,该怎么办?
下图突出显示了代码中的利用。即使经过仔细检查,也很容易忽略。这是因为漏洞避免了绒毛错误,并且不会破坏语法突出显示。
执行方法是微妙的:硬编码命令以及任何用户提供的参数,作为数组中的元素传递给exec函数。然后,此功能执行OS命令。
剑桥团队提出的解决方案解决了此漏洞:限制双向Unicode字符。但是,正如该示例所表明的那样,同质攻击和无形字符呈现出巨大的持续威胁。
以上是无形的JavaScript后门的详细内容。更多信息请关注PHP中文网其他相关文章!
