La porte dérobée JavaScript invisible

Un exploit intelligemment déguisé (et effrayant) presque indétectable. Wolfgang Ettlinger pose la question: que se passe-t-il si une porte dérobée est littéralement invisible, en évitant même les critiques de code les plus approfondies?

L'image ci-dessous met en évidence l'exploit dans le code. Même avec une inspection étroite, il est facile de négliger. En effet

La méthode d'exécution est subtile: les commandes codées en dur, ainsi que tous les paramètres fournis par l'utilisateur, sont passés sous forme d'éléments dans un tableau à la fonction exec . Cette fonction exécute ensuite les commandes OS.

La solution proposée par l'équipe de Cambridge aborde cette vulnérabilité: restreindre les caractères Unicode bidirectionnels. Cependant, comme le montre cet exemple, les attaques d'homoglyphes et les personnages invisibles présentent une menace en cours importante.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!