什么是webshell

webshell实际上就是网页后门，本质上是一种网页，但不具有网页的功能，如登录，注册，信息展示等。

一般有 ASP，ASP.NET，JSP，PHP等语言开发。

webshell一般具备文件管理，端口扫描，提权，获取系统信息等功能。

拥有比较完整功能的webshell一般称为大马，功能简单的webshell就叫小马。

小马执行功能时需要将代码传到服务端，功能分装在客户端。

大马自身中封装了很多功能，只需要传递参数，即可执行对应的功能，例如端口扫描，反弹shell等。

除此之外，还有 木马，菜刀马，脱库马等对webshell特性或者功能的简称。

 

webshell常见检测方式：
静态检测：通过匹配特征码、特征值、危险函数来查找webshell，但只能查找已知的webshell。主流的检测方法有关键字检查（Keywords Matching）、审核代码逻辑（Code Logic Review）等。

动态检测：webshell在执行时表现出来的特征，我们称为动态特征。主流的检测方法有文件状态对比（File Info Comparison）、运行特征（Feature Matching）、访问行为检测（Access Behavior）等。

 

 注：常见检测方式摘自  盛邦安全 https://mp.weixin.qq.com/s/N-qfuoSpGa-0M1C123e-6g

参考： https://blog.csdn.net/weixin_43148062/article/details/105721775