NOde.js开源漏洞,可疑文件检测器:Web Exploit Detector

项目地址

https://github.com/polaris64/web_exploit_detector

工具简介

Web Exploit Detector是一个Node.js应用程序,用于检测网络托管环境中可能的感染,恶意代码和可疑文件。此应用程序旨在在托管一个或多个网站的Web服务器上运行。运行应用程序将生成可能感染的文件列表,并附带对感染的描述以及与之相关联的在线资源的引用。该工具旨在检测漏洞和可疑文件,而不是删除它们。

在可能的情况下,应用程序中的每个检测都将包含指向与该类型感染相关的确切博客文章的链接。在这些博客文章中,可以找到关于漏洞利用的技术分析以及如何将其删除并防止重复感染的说明。

此工具还在改进中,作者会不停的改进和更新它,该应用程序现在只能用于检测有限数量的漏洞和可疑文件,但是以后可以检测到更多的数量,并且也会更容易使用。当作者在更新改进的同时,他会不停的补充这个帖子,同时写一篇关于如何有效使用该工具的文章。

工具安装

该项目的npm模块正在编写中,所以现在它只能作为Node.js的应用程序来运行:

  1. git clone https://github.com/polaris64/web_exploit_detector

  2. cd web_exploit_detector

  3. npm install

running

只需通过节点调用脚本,并将路径传递给webroot,如下所示:

node index.js --webroot=/var/www/html

其他命令行选项可用,运行node index.js就可以查看描述它们的帮助消息。

规则引擎

该应用程序使用运行加载的“规则”集合进行操作。每个规则由ID,名称,描述,URL列表,标签,弃用标志和最重要的测试组成。测试可以是以下之一:

  • 正则表达式:最简单的测试类型,与正则表达式匹配的任何文件都将通过测试。

  • 一个布尔回调:回调函数必须返回一个布尔值,指示传递的文件是否通过测试。回调可以自由执行任何同步操作。

  • 承诺回调:回调函数必须返回一个由布尔值解析的Promise,指示传递的文件是否通过测试。这种类型的回调可以自由执行任何异步操作。

由于基于Web的漏洞利用不断发展,并且新的漏洞不停的被挖掘,所以这些规则也要不停的更新。如果发现此工具有未检测到的漏洞,请与我联系,让我修改补充,你也可以编写自己的规则并将其添加到第三方规则集(rules/third-party/index.js),然后和我联系。

如果你不知道如何写自己的规则,你可以联系我,我可以帮你创建自己的规则,也可以向我发送关于漏洞利用的信息,补充到工具中。

规则ID用以下格式编写:“author:type:sub-type(s):rule-id”。

例如我自己的规则之一是“P64:php:cms:wordpress:wso_webshell”。

  1. P64”是我(作者)

  2. “php:cms:wordpress”是分组(一个特定于PHP的规则,用于WordPress的内容管理系统(CMS))

  3. “wso_webshell”是特定的规则ID。

在编写自己的规则时,请尝试遵循此格式,并将“P64”替换为自己的GitHub用户名或其他唯一的ID。

相关文章
相关标签/搜索