Analizza il codice interpretato per le linee lunghe per rilevare l'iniezione di codice?

1

Come afferma link : la migliore protezione contro l'iniezione di codice è quella di prevenirlo ma spesso si vedono post su SO o qui che va come

I found "long line of php/perl, etc code" and want to know what it does.

Poi mi sono reso conto che molte di quelle iniezioni di codice tendono a essere linee molto lunghe di codice (oltre ad essere codificate e possibilmente crittografate) per evitare di essere troppo ovvi a prima vista.

Ora stavo pensando se le scansioni automatiche di qualsiasi code code per alcune lunghe code di codice potrebbero fornire un meccanismo economico per rilevare i blocchi di iniezione del codice nelle lingue interpretate?

Una ricerca rapida non ha rivelato alcuna correlazione di hit e falsi positivi durante la scansione di righe di codice più lunghe di n caratteri.

Sono in possesso di un codice offuscato, ma anche un codice scritto male verrà rilevato da un tale sistema, ma c'è un uso noto di una tecnica così semplice in qualsiasi IDS?

Per un provider di hosting generale questo potrebbe non essere pratico (o persino legale?) per scansionare tutti i file client per linee troppo lunghe in quanto richiederebbe manodopera o un'ulteriore analisi dei rischi di tutti gli hit e un sistema di notifica per l'utente finale. Ma gli host per blog ecc., Che possono ottenere un'iniezione da temi dannosi o qualsiasi altro tipo potrebbero trarne profitto. O mi sbaglio qui?

    
posta Samuel 29.07.2014 - 10:26
fonte

1 risposta

1

Molti motori anti-malware "euristici" fanno questo genere di cose. Controllano l'entropia di blocchi di codice o persino l'intero PE. Un sacco di malware viene offuscato per esistere più a lungo in natura. Il problema con questo tipo di rilevamento è che funziona male con gli attaccanti intelligenti.

Ad esempio, quando scrivo degli exploit, randomizzo tutto mantenendo le cose piccole e non mi vedrai MAI come scrivere codice persistente su altri file. Invece farò un exploit affidabile e lo farò scattare quando ho bisogno di accedere alla scatola.

Quindi, sì, questo funziona per malware, ecc., non mostrerà attaccanti umani. Tuttavia, se riesci a farlo con la memoria in esecuzione, questo sarà sicuramente di aiuto.

    
risposta data 29.07.2014 - 12:54
fonte

Leggi altre domande sui tag