[发明专利]web后门路径探测方法

说明书

本发明提供一种web后门路径探测方法，获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name；使用网络爬虫，沿网站首页爬取，获取网站的目录树$Web_Catalog，以及URL树$Web_Url_Tree，以及网站根目录$Web_Root，自定义错误页面$Error_Page；根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url；本发明在网站被黑客植入WEB后门之后，能够给出一批可以的WEB路径，为后续的WEB后门的分析提供支撑。本发明提出了一种WEB后门路径探测的方法，通过该方法，可以探测出网站的可疑路径，为进一步WEB后门的检测提供支撑。

技术领域

本发明涉及一种WEB后门路径的探测方案，具体涉及一种web后门路径探测方法。

背景技术

WEB后门：WEB后门就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境，也可以将其称webshell。黑客在入侵了一个网站后，通常会将ASP或PHP后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问ASP或者PHP后门，得到一个命令执行环境，以达到控制网站服务器的目的。

网页爬虫技术：WEB后门主动检测的第一步是识别出可疑的WEB路径，通常网站的WEB页面的获取可疑通过网页爬虫遍历整个网站目录和文件，得到网站的路径树。但是WEB后门由于是黑客通过网站漏洞植入的，放在隐蔽的位置，一般是无法通过网页爬虫爬取到的。

WEB后门收集：收集已公布的WEB后门的文件名、路径、脚本类型等信息。

WEB后门路径组合：WEB后门路径组合是本发明实现WEB后门路径探测的主要手段。根据历史发现的WEB后门的路径、文件名、脚本类型以及常用词等特征和当前网站的路径进行组合，生成大量的路径。

WEB后门就是以网页文件形式存在的一种命令执行环境，也可以将其称webshell。黑客在入侵了一个网站后，通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问WEB后门，得到一个命令执行环境，以达到控制网站服务器的目的。所以对用户服务器来说，WEB后门是是一个非常危险的存在，所以及时发现并删除WEB后门，对于保障服务器的安全性是非常关键的。

黑客入侵网站后，会将后门文件放在比较隐蔽的位置，通常会是孤链，管理员很难发现。所以发现WEB后门是一个比较困难的，一般有两种发现途径：

一、通过网站的访问记录排查；

二、主动扫描识别。

因此，需要对现有技术进行改进。

发明内容

本发明要解决的技术问题是提供一种高效的web后门路径探测方法。

为解决上述技术问题，本发明提供一种web后门路径探测方法，包括以下步骤：

1)、获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name；

2)、使用网络爬虫，沿网站首页爬取，获取网站的目录树$Web_Catalog，以及URL树$Web_Url_Tree，以及网站根目录$Web_Root，自定义错误页面$Error_Page；

3)、根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url；

使用Http请求访问待检测URL集合$Target_Url中的连接，得到可疑URL集合$Suspicious_Url。