一个几乎无法检测到的漏的有趣(可怕)技巧。沃尔夫冈·埃特林格:
如果后门 实际上 是 看不到的 ,因此即使通过 彻底 的代码审查也能逃避检测怎么办?
我将发布帖子中的漏利用截图,并圈出实际漏利用:
如果您真的非常仔细地观察,您可能会看到这一点,但我可以看到它很容易错过,因为它可以避免任何 linting 问题并且根本不会弄乱语法突出显示。然后按照这段代码的编写方式,执行命令:
然后将数组中的每个元素、硬编码命令以及用户提供的参数传递给 exec 函数。该函数执行操作系统命令。
他们认为值得改变:
剑桥团队提议限制 Bidi Unicode 字符。正如我们所展示的,同形文字攻和隐形字符也可能构成威胁。