今天看到某花的PAPER,突然天马行空的想到了一个问题

如果服务器被中类似以下情况的后门

  • webshell等类似后门程序

  • 在中间件方面添加插件

  • 冒充中间件(修改中间件)添加相关指令的情况

    虽然后来考虑成本其实比较高有点不太现实,但不妨想一想。

    后门以约定好的算法或约定好的数值传输服务器内相关数据。

    逻辑大概如下:

    服务器A被上述方法篡改了相关程序或数据等,通过在http/s等正常通讯中添加约定好的规则或非固定规则(reponse中通过伪造cookie等方式传递规则信息)(文件16进制等方式传递文件16进制解密规则)

    上述有可能不好理解换句话说就是把文件的16进制的排列方式和正常网页中存在的字符进行绑定(也就是上述的规则)

    接收端/控制端按照上述规则进行排序解密(一般情况下网页中均含有a-z 0-9 以及部分特殊字符)从而获取服务器端或其他数据。

    我暂时只想到了防患于未然的方式排查上级程序(被篡改的软件或文件),以及事先进行预防(安全设备等)来解决。

Comments
Write a Comment