后门程序检测
critical Web App Scanning 插件 ID 98097
语言:
简介
后门程序检测描述
扫描程序通过利用与网络犯罪分子相同的方法,能够确定远程 Web 服务器上可能存在的 Web 后门程序或 Web Shell。如果服务器之前受到过破坏,则网络犯罪分子很可能已安装后门程序,以便他们可以在需要时轻松返回该服务器。实现此目的的一种手段是在 Web 服务器的 Web 根目录下放置 Web 后门程序或 Web Shell。这样一来,网络犯罪分子便能够通过 HTTP/S 会话访问服务器。还有可能是管理员为了能远程执行管理活动而在服务器上放置了 Web 后门程序或 Web Shell,但这是极为糟糕的做法。在攻击的初始侦查阶段,网络犯罪分子会尝试通过请求最常见的和知名的 Web 后门程序或 Shell 的名称,来尝试进行定位。通过分析响应,攻击者能够确定是否存在 Web 后门程序或 Web Shell。然后,这些 Web 后门程序或 Web Shell 可为进一步破坏服务器提供容易的路径。解决方案
如果手动确认后发现服务器上存在 Web 后门程序或 Web shell,则应将其删除。我们还建议对服务器进行事件响应调查,以查明 Web 后门程序或 Web Shell 是如何出现在服务器上的。
依据具体情况,应对任何其他服务或服务器是否遭到破坏进行调查。
另见
插件详情
严重性: Critical
ID: 98097
类型: remote
系列: Web Servers
发布时间: 2017/3/31
最近更新时间: 2024/2/2
扫描模板: api, basic, full, pci, scan
风险信息
VPR
风险因素: High
分数: 8.5
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: Tenable
CVSS v3
风险因素: Critical
基本分数: 10
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS 分数来源: Tenable
参考资料信息
OWASP: 2010-A1, 2010-A3, 2013-A1, 2013-A2, 2017-A1, 2017-A2, 2021-A3
WASC: Application Misconfiguration, OS Commanding
CAPEC: 108, 121, 15, 242, 35, 43, 6, 661, 77, 88
DISA STIG: APSC-DV-002510
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.1.1, 27001-A.14.2.5, 27001-A.14.2.7, 27001-A.14.2.9, 27001-A.15.1.2
NIST: sp800_53-SA-4(3), sp800_53-SI-10
OWASP API: 2019-API7, 2019-API8, 2023-API8
OWASP ASVS: 4.0.2-14.3.2, 4.0.2-5.2.5, 4.0.2-5.3.8