刚刚看到一个帖子说某些面板是不是后门,要说什么是不是,那就先得定义后门是什么。以维基百科的定义软件后门指绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。很明显网站特征就不是软件后门。
网站特征是怎么来的?
对于任何一个可以被访问到的网站,能获取到的数据有IP地址,域名,HTML,JS,CSS,图片等资源,这就导致很多数据有非常强的指向性,比如网站的favicon图标,某些固定DOM结构,JS代码等等,只需要把得到的这些数据计算出一个唯一的hash值,再通过机器爬虫不断地爬取全球网络资源,就能得到一个庞大的网站特征数据库,这就是资产测绘服务的核心运作流程,当然具体实现机制可能很复杂。
以百度为例,打开百度首页,找到并下载favicon.ico图标,如图:
上传到FOFA中(需登录),这样就能获取到FOFA爬取的所有跟此favicon.ico图标hash值一样的网站,你能说这是百度留的后门吗,很明显就不是啊!下面是分析结果,如图:
如何缓解网站特征?
那有什么办法缓解呢,自古都是有矛就有盾。既然特征不可能避免,那我把特征变成普通特征或者稀有特征。
如何变成普通特征,最简单的方式就是加盾,比如Cloudflare,以我们的NodeSeek为例,试了几个icon图标都没有数据,如图:
为什么没有数据呢,因为机器爬虫得到的数据是cf的验证页面,如图:
是不是只要加了cf就能避免特征泄露了呢,当然不是,不信请看另外一家的扫描结果,如图:
讲完普通特征,那如何变成稀有特征,顾名思义稀有特征就是茫茫人海中不撞脸,我就是我不一样的烟火!我的特征只有我一个人有,别人都不知道,比如把icon换成独一无二的的图标。
总结
以上只是针对icon图标做的简单分析,实际上不光icon这一个指标,还有DOM树结构,js文件,源码,关联性特征,历史记录等等指标。网站特征是任何网站的内禀属性,就像一个正常人的性格,你可以说我不知道他的性格,但不可能他没有性格。至于一些针对开源作者的猜疑,那就交给历史吧,不做解读。内容整理仓促难免有不足,有不对的地方欢迎各位大佬指出以及补充。