보이지 않는 JavaScript 백도어

영리하게 위장한 (그리고 무서운) 거의 감지 할 수없는 착취. Wolfgang Ettlinger는 다음과 같은 의문을 제기합니다. 백도어가 문자 그대로 보이지 않는다면 가장 철저한 코드 리뷰조차도 어떻게 회피합니까?

아래 이미지는 코드 내 악용을 강조합니다. 면밀한 검사를 받더라도 간과하기 쉽습니다. 이는 익스플로잇이 일렬 오류를 피하고 구문 강조 표시를 방해하지 않기 때문입니다.

실행 방법은 미묘합니다. 하드 코딩 된 명령은 사용자가 제공 한 매개 변수와 함께 exec 기능의 배열 내의 요소로 전달됩니다. 그런 다음이 기능은 OS 명령을 실행합니다.

Cambridge 팀의 제안 된 솔루션은이 취약점을 해결합니다 : 양방향 유니 코드 문자 제한. 그러나이 예에서 알 수 있듯이 균질 공격과 보이지 않는 캐릭터는 중요한 지속적인 위협을 제시합니다.

위 내용은 보이지 않는 JavaScript 백도어의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!