一个​几乎无法检测到的漏​​的有趣(可怕)技巧。​​沃尔夫冈·埃特林格:

如果后门 ​实际上 ​是 ​看不到​的 ,因此即使通过 ​彻底 ​的代码审查也能逃避检测怎么办?

我将发布帖子中的漏利用截图,并圈出实际漏利用:

#yyds干货盘点#不可见的 JavaScript 后门_ico

如果您真的非常仔细地观察,您可能会看到这一点,但我可以看到它很容易错过,因为它可以避免任何 linting 问题并且根本不会弄乱语法突出显示。然后按照这段代码的编写方式,执行命令:

然后将数组中的每个元素、硬编码命令以及用户提供的参数传递给 ​​exec​​ 函数。该函数执行操作系统命令。

他们认为值得改变:

剑桥团队提议限制 Bidi Unicode 字符。正如我们所展示的,同形文字攻和隐形字符也可能构成威胁。