[发明专利]一种基于RCE漏洞的WEB后门检测装置及检测方法

说明书

本发明涉及一种基于RCE漏洞的WEB后门检测装置及检测方法，初始化，特征收集模块进行特征收集，处理得到特征库，启动装置后任务下发，任务接收模块接收任务并由任务执行模块执行，进行漏洞识别，检测WEB后门，由结果输出模块输出检测结果。本发明通过对RCE漏洞的利用，可以在远程探测到网站的目录树以及所有的网页文件的源文件，再对网页进行特征识别、检测以孤链存在的WEB后门，实现远程静态检测网站的WEB后门并查杀。

技术领域

本发明涉及的技术领域，特别涉及一种基于RCE漏洞的WEB后门检测装置及检测方法。

背景技术

WEB后门是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境，也可以称为WebShell；黑客在入侵了一个正常网站后，通常会将ASP或PHP后门文件与网站服务器的WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问ASP或者PHP后门，得到一个命令执行环境，进而达到控制网站服务器的目的。WEB后门作为黑客植入到正常网站中的、可以执行命令的恶意网页，一般具有隐蔽性而难以被发现。

现有技术中，对于WEB后门的主动检测采用网页爬虫技术，识别出可疑的WEB路径，然而，由于WEB后门是黑客通过网站漏洞植入的，一般放在比较隐蔽的位置，由于在远程监测情况下没有网站的访问流量，故而通过爬虫的方式无法被爬取到。

存在WEB后门的网站一般都可能存在能被黑客利用的入侵点，如远程代码执行漏洞，即RCE漏洞，其会使得攻击者在用户运行应用程序时执行恶意程序，并控制这个受影响的系统，攻击者一旦访问该系统后，它会试图提升其权限。

发明内容

本发明解决了现有技术中存在的问题，提供了一种优化的基于RCE漏洞的WEB后门检测装置及检测方法，检测网站是否存在远程代码执行漏洞，利用漏洞、通过执行代码获取网站的网页文件源代码，通过特征匹配，检测出WEB后门。

本发明所采用的技术方案是，一种基于RCE漏洞的WEB后门检测方法，所述方法包括以下步骤：

步骤1：初始化，进行特征收集，处理得到特征库；

步骤2：启动装置，任务下发；

步骤3：执行任务，进行漏洞识别，检测WEB后门；

步骤4：输出检测结果。

优选地，所述步骤1中，特征收集并处理得到特征库包括以下步骤：

步骤1.1：下载已知的WEB后门源码，将收集的源码加入源代码特征匹配集合A；

步骤1.2：获取已知的RCE漏洞，加入漏洞库B；

步骤1.3：基于所述RCE漏洞，采集对应的漏洞Poc，生成漏洞Poc库C；

步骤1.4：基于所述RCE漏洞及对应的漏洞Poc，制定对应的漏洞Ext，生成漏洞Ext库D；

步骤1.5：基于所述RCE漏洞添加匹配规则，形成指纹规则库E。

优选地，所述步骤2中，任务为规范化处理的网站的URL连接。

优选地，所述步骤2中，任务为文本输入或文件输入。

优选地，所述步骤3包括以下步骤：

步骤3.1：调用指纹规则库E，对任务进行识别；

步骤3.2：对识别到的指纹匹配对应的RCE漏洞Poc，若匹配成功，则进行下一步，否则，判定为非WEB后门，进行步骤4；

步骤3.3：执行漏洞Poc，若判断为存在漏洞，则进行下一步，否则，判定为非WEB后门，进行步骤4；