無形的JavaScript後門

一個巧妙地偽裝（令人恐懼）幾乎無法檢測到的利用。沃爾夫岡·埃特林格（Wolfgang Ettlinger）提出了一個問題：如果後門從字面上看不見，即使是最徹底的代碼評論，該怎麼辦？

下圖突出顯示了代碼中的利用。即使經過仔細檢查，也很容易忽略。這是因為漏洞避免了絨毛錯誤，並且不會破壞語法突出顯示。

執行方法是微妙的：硬編碼命令以及任何用戶提供的參數，作為數組中的元素傳遞給exec函數。然後，此功能執行OS命令。

劍橋團隊提出的解決方案解決了此漏洞：限制雙向Unicode字符。但是，正如該示例所表明的那樣，同質攻擊和無形字符呈現出巨大的持續威脅。

以上是無形的JavaScript後門的詳細內容。更多資訊請關注PHP中文網其他相關文章！