通过对“Webshell攻击”的整体分析，我们发现Webshell不知不觉为人们带来了很多危害，一旦黑客拿到了网站的WebShell，就可以修改网站的文件了！这样，网站将不再有秘密可言。如果入侵者通过执行命令，提升网站的权限后，就可以发展到入侵服务器，进而创建管理用户，达到控制整台服务器的目的。因此，无论是网站开发人员还是业界的同胞，都要提高对Webshell攻击的警惕，时刻关注网站是否存在漏洞，防止其被上传WebShell，造成严重的后果。

1、Web软件开发的安全

    A、程序中存在文件上载的漏洞，攻击者利用漏洞上载木马程序文件。

    B、防sql注入、防暴库、防cookieS欺骗、防跨站脚本攻击。

2、服务器的安全和web服务器的安全

    A、服务器做好各项安全设置，病毒和木马检测软件的安装（注：webshell的木马程序不能被该类软件检测到），启动防火墙并关闭不需要的端口和服务。

    B、提升web服务器的安全设置

    C、对以下命令进行权限控制（以windows为例）： cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe

3、ftp文件上载安全

    设置好ftp服务器，防止攻击者直接使用ftp上传木马程序文件到web程序的目录中

4、文件系统的存储权限

    设置好web程序目录及系统其它目录的权限，相关目录的写权限只赋予给超级用户，部分目录写权限赋予给系统用户。

　 将web应用和上传的任何文件（包括）分开，保持web应用的纯净，而文件的读取可以采用分静态文件解析服务器和web服务器两种服务器分 别读取（Apache/Nginx加tomcat等web服务器），或者图片的读取，有程序直接读文件，以流的形式返回到客户端。

5、不要使用超级用户运行web服务

    对于apache、tomcat等web服务器，安装后要以系统用户或指定权限的用户运行，如果系统中被植入了asp、php、jsp等木马程序文件，以超级用户身份运行，webshell提权后获得超级用户的权限进而控制整个系统和计算机。

三、WebSehll测试概述

1、环境搭建

网上有很多例子，通常可以使用mysql+nginx+php的方式来搭建一个简单的论坛，用于测试使用。

搭建好的论坛如下图所示。

 2、WebShell制作

简单的制作一句话木马：，保存为如下形式：test.php.jpg

3、WebShell上传

找到可以上传的点，结合BurpSuit测试工具来进行上传测试。

关于BurpSuit的使用方法，可以参考我之前发过的文章 ----BurpSuite工具使用心得

下面简单举例说明。

00截断测试

打开burpsuit设置代理服务器进行数据包拦截

在文件名处的test.php后加空格,在16进制信息形式处找到添加的空格（20）,将其修改为00.

返回文界面，发现空格消失

forword提交，如果存在00截断漏洞，即可成功上传webshell了。

扩展名变换测试

创建一句话木马文件test.php，内容与之前相同

打开burpsuit进行数据包拦截，将文件后缀改为.php5

forward提交，如果存在扩展名验证问题，即可成功上传。