来自 数据 2021-05-03 09:14 的文章

防ddos_网站高防服务器租用_秒解封

防ddos_网站高防服务器租用_秒解封

恶意JavaScript的内联检测漏洞工具包是网络上比以前更常见的威胁。为了逃避检测,这些工具经常包含逻辑来混淆或隐藏它们为受害者提供的内容背后的含义。此外,ddos防御能放cc吗,每次访问攻击页面时,混淆技术将略有不同,因此静态内容签名将无法检测威胁。其他威胁包括模糊JavaScript(JS),它将页面设置为利用漏洞并启动有效负载(例如,用外壳代码"喷洒"堆)。还有一些威胁将模糊的JS注入合法网站,在解码后,这些网站会在恶意内容中嵌入一个隐藏的(0像素)IFrame。正如我们在过去看到的,JS编码随着每次事件的不同而变化很大,很多实例被多次编码,并且可能包含非标准的JS(参考过去的博客文章,ddos最好的防御方式,如"恶意脚本中使用的越来越模糊")。虽然有些签名是为诸如通用堆喷涂和模糊JS中的其他恶意行为而编写的,但坏人却在不断更新策略以逃避检测。总之,我要说的是,JS的可伸缩性(想想ISP),内联deobfousion是一个非常*难以实现的东西。解决这个问题的一种方法是实现一些有效的检查,以分析JS的恶意可能性并对其进行评分(JS启发式)。满足某个分数阈值的页面可能会进行额外的检查,阿里云免费DDOS防御,ddos攻击防御设备,或者页面可能会被完全阻塞。在对一些恶意的和良性的网站做了一些研究和测试之后,我想出了一些可以内联实现的检查,也产生了一些引人注目的结果。虽然我不会泄露所有的"秘密酱汁",免费高防cdn有哪些,但我想分享我对JS的两个非常有趣的检查。香农熵评分在维基百科中,熵是如何被组织起来的。香农熵用概率表示,它描述了确定消息内容所需的是/否问题(位)的数量(消息中的熵越大,所需的问题就越多)。Shannon熵表示为:P(XI)是席席序列在消息内容中的概率。在分析了一些良性和恶意网站后,我发现绝大多数良性网站的熵值在5到6之间。例如,.nobr br{display:none}  现场统一资源定位地址熵得分谷歌搜索结果页面?q=测试5.59684041594171CNN主页视频页面?v=YjZR1Rjj_p0型5.64757689191574Zscaler博客斯拉什多脸谱网雅虎推特必应天气以上10页的平均熵得分为:5.44203995。我从MDL、MalwareURL、BLADE和Zscaler的块日志中提取了一些恶意页面。熵评分的多样性更大,但我注意到很多结果评分超出了良性病变的5-6范围。例如,.nobr br{display:none}   现场统一资源定位地址熵得分Pheonix漏洞工具包hxxp://cupidplaces.com/des/index.php6.07314762971744Eleonore漏洞工具包1.3.2hxxp://godaddynon.com/31337/frv/index.php3.42515527587734Eleonore漏洞工具包1.4hxxp://russian-post.net/otop/index.php4.35195257602932Pheonix漏洞工具包hxxp://grinchalina5.com/pek/5.41711832747246注入模糊JShxxp://123cellebitygossip.com/top-family-biographies5.16329257317279是漏洞利用工具包3.0hxxp://img127.imageshack.uz/start.php6.07918073457686利用hxxp://www.hao123.com.wwvv.us/images/css/jg.htm2.6484961921375新裂hxxp://sun.akkei.com/cgi-bin/engine.aspx5.36941875592612IE开发CVE-2010-0249网址:hxxp://www.12388.info:778个/ie.html4.71645042977322Fragus漏洞工具包hxxp://79.39.52.17:555/计数器/显示.php3.35759918809499在上面的10个示例中,有7个恶意URL超出了良性站点的熵范围。良性网站一般都包含英文内容。英语字母表的熵(上/下26个字母、数字、标点符号)比主要由十六进制或编码字节组成的内容(如0-9A-F)更大。这可以在hao123.com的漏洞页面中看到,该页面的熵分数非常低。一些漏洞工具包在编码、变量名等中使用了更大且"更随机"的字符池-这些站点导致了更高的熵分数。JavaScript"密度"评分漏洞工具包和漏洞利用页面经常将大量编码内容存储到变量中,然后由脚本处理这些变量,从而导致漏洞攻击、外壳代码、重定向或其他内容。这些大块内容使得这些页面的JS比典型网站上的JS更"密集"。通过计算平均字符序列大小,我可以应用一个数字"密度"得分的脚本内容。仅仅用空格分隔字符序列有一个问题-很多JS都去掉了空格以节省带宽(这称为JS缩小),因此我也用一些JS字符来分隔字符序列,比如=;(){}。对上述相同的恶意网站和良性网站进行密度评分,良性网站的平均密度得分为13.6808922,而恶意网站的平均密度得分为42.3847881。不用说,在我测试的恶意站点和良性站点之间,JS密度有很大的差异。结论当网页中的所有JS在网络上飞过时,将它们除掉是不太可伸缩的。然而,有些技术可以用来实时识别有风险的,或者潜在的恶意的,模糊的JS。这提供了一个较小的JS子集,以便基于阈值进一步分析内联或块。一些技术的初步结果,如熵和密度评分,产生了一些有希望的结果。通过向社区发布这些结果,我希望鼓励其他人进行分析,并分享他们的工作/结果,以实现除了简单签名之外的内联JS分析的可伸缩解决方案。下面是一些截图的内部概念证明,我建立使用前面提到的检查。利用站点示例:良性站点示例: Zscaler_媒体_中心2_博客_发布_1-R1