RFI spraga

Pažeidžiamos kompiuterinės sistemos ir programos:

PHP, JSP, ASP

Aprašymas:

RFI (angl. Remote File Inclusion) yra ataka, kuomet kenkėjiškais tikslais išnaudojami failų įterpimo į internetines (angl. Web) aplikacijas mechanizmai. Šioms aplikacijoms apdorojant įterptą failą, jame esantis programinis kodas, priklausomai nuo naudojamų procedūrų, gali būti įvykdomas. Jei šis procesas yra vykdomas remiantis HTTP užklausų elementais, aplikacijoje atsiranda pažeidžiamumas tokio tipo atakoms. Šia spraga naudodamasis piktavalis gali:

  • įterpti ir realizuoti kenkėjišką kodą pažeidžiamame tinklo serveryje;
  • sukelti paslaugos trikdymo ataką (DoS) ir taip sutrikdyti tarnybinės stoties darbą;
  • perimti konfidencialią informaciją.


Rekomenduojama vartotojams:

Efektyviausias problemos sprendimas – kaip įmanoma labiau apriboti vartotojo perduodamos įvesties galimybę. Tai galima padaryti aplikacijoje naudojant įvesties filtravimą (pvz. leidžiamų įterpti failų sąrašą, draudžiamų specialiųjų simbolių (/, <, :, # ir pan.) sąrašą).

Informacijos šaltiniai:

http://projects.webappsec.org/w/page/13246955/Remote%20File%20Inclusion
http://resources.infosecinstitute.com/file-inclusion-attacks/

Visos rekomendacijos