webshell实际上就是网页后门,本质上是一种网页,但不具有网页的功能,如登录,注册,信息展示等。
一般有 ASP,ASP.NET,JSP,PHP等语言开发。
webshell一般具备文件管理,端口扫描,提权,获取系统信息等功能。
拥有比较完整功能的webshell一般称为大马,功能简单的webshell就叫小马。
小马执行功能时需要将代码传到服务端,功能分装在客户端。
大马自身中封装了很多功能,只需要传递参数,即可执行对应的功能,例如端口扫描,反弹shell等。
除此之外,还有 木马,菜刀马,脱库马等对webshell特性或者功能的简称。
webshell常见检测方式:
静态检测:通过匹配特征码、特征值、危险函数来查找webshell,但只能查找已知的webshell。主流的检测方法有关键字检查(Keywords Matching)、审核代码逻辑(Code Logic Review)等。
动态检测:webshell在执行时表现出来的特征,我们称为动态特征。主流的检测方法有文件状态对比(File Info Comparison)、运行特征(Feature Matching)、访问行为检测(Access Behavior)等。
注:常见检测方式摘自 盛邦安全 https://mp.weixin.qq.com/s/N-qfuoSpGa-0M1C123e-6g
参考: https://blog.csdn.net/weixin_43148062/article/details/105721775