标签： 冰蝎

1. 蚁剑流量特征 1.1 蚁剑webshell静态特征 蚁剑中php使用assert、eval执行；asp只有eval执行；在jsp使用的是Java类加载（ClassLoader），同时会带有base64编码解码等字符特征。 1.2 蚁剑webshell动态特征 我们使用一句话木马上传webshell，抓包后会发现每个请求体都存在以@ini_set("display_errors","0");@...

内存马其实由来已久，早在十几年前，内存马的技术雏形就已经在Windows平台出现，以线程注入为代表的这一类技术，通过将木马注入到系统进程和删除自身进程的方式，来躲避杀毒软件的查杀和实现自身的隐藏。 随着技术的发展，攻击目标的变迁，内存马也渐渐在不同的层面获得了发展，攻击范围涵盖操作系统脚本、进程，Java容器和Web服务程序等，攻击方式多变且复杂。 由于内存马删除自身并且在内存中驻留隐藏的特点，具...

文 | 安恒信息 今天来聊聊，Web攻防之文件上传漏洞防护。 有客户网站经常碰到有人恶意传小马、放大马——利用文件上传漏洞被攻击者利用，上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力，那这个脚本文件就是我们所说的小马大马。 通常小马的功能一般都比较单一，作用一般是向服务器中写入文件数据。因为其功能单一的特性，隐蔽性通常都比较高，有些网站对上传文件大小做了限制，小马因为占用...

安芯网盾安全团队监测到冰蝎作者在7月25日8点钟发布冰蝎4.0工具，经过验证，安芯网盾内存保护系统可实时检测冰蝎4.0。 冰蝎4.0新版本中，允许用户自定义通信协议，能够绕过绝大多数流量检测设备，如参与攻防演练的企业未部署内存保护系统，检测组和溯源组需要注意，建议做好安全评估。 图1 7月25日冰蝎4.0版本更新日志 安芯网盾内存安全产品支持 经过安芯网盾研究团队验证，安芯网盾内存安全产品可以在不...

JavaAgent技术简介 JDK1.5开始引入了Agent机制(即启动java程序时添加“-javaagent”参数，Java Agent机制允许用户在JVM加载class文件的时候先加载自己编写的Agent文件，通过修改JVM传入的字节码来实现注入自定义的代码。采用这种方式时，必须在容器启动时添加jvm参数，所以需要重启Web容器。 JDK1.6新增了attach方式，可以对运行中的java进...