无形的JavaScript后门

一个巧妙地伪装（令人恐惧）几乎无法检测到的利用。沃尔夫冈·埃特林格（Wolfgang Ettlinger）提出了一个问题：如果后门从字面上看不见，即使是最彻底的代码评论，该怎么办？

下图突出显示了代码中的利用。即使经过仔细检查，也很容易忽略。这是因为漏洞避免了绒毛错误，并且不会破坏语法突出显示。

执行方法是微妙的：硬编码命令以及任何用户提供的参数，作为数组中的元素传递给exec函数。然后，此功能执行OS命令。

剑桥团队提出的解决方案解决了此漏洞：限制双向Unicode字符。但是，正如该示例所表明的那样，同质攻击和无形字符呈现出巨大的持续威胁。

以上是无形的JavaScript后门的详细内容。更多信息请关注PHP中文网其他相关文章！