TashaFridrih Aug 11 2017 at 10:14

Распознать и обезвредить. Поиск неортодоксальных бэкдоров

5 min

16K

ua-hosting.company corporate blog Information Security *PHP *

Translation

+11

Comments 6

vesper-bot Aug 11 2017 at 11:05

Короче. Если вы видите код, который ненормальным образом оперирует с данными из GET или POST, это скорее всего бэкдор.

Billar Aug 11 2017 at 23:32

Таким успехом бекдоры начнут делать на бекконнект к удаленному файлу, и нафиг post-get-request

rPman Aug 12 2017 at 00:07

брать код из сесси/кук :) и никуда коннектиться не надо

vesper-bot Aug 14 2017 at 09:52

Можно поподробнее? "Удаленный" это deleted или remote? Да и файл вначале надо как-то заставить сервер интерпретировать, чтобы такой бэкдор заработал.

Hardcoin Aug 12 2017 at 01:17

Но действительно ли это злонамереннй код?

Вы видите, что post вызывается как функция и у вас возникает такой вопрос? Ах да, есть же ещё вариант, что код полезный, просто программист был сумасшедший?

А проверить тысячу файлов, кстати, не сложно. Сравнить с репозиторием. В нормальной ситуации код одинаков, проверяется одной командой (например, git status)

Iqorek Aug 14 2017 at 12:58

Ах да, есть же ещё вариант

Есть еще 2 варианта:
1. Программист был неопытный и никогда не слышал о code injection.
2. Программист знал об инжекциях, но раздолбай, сделал как ему проще, а не так как надо.