شما هم اکنون در حال مشاهده مطلب امنیت در مقابل باگ اپلکیشن وب (LFI-RFI) از اولترا سیکوریتی می باشید

این صفحه تاکنون 654 بار بازدید داشته است
امنیت در مقابل باگ اپلکیشن وب (LFI-RFI)
امنیت وب سایت ۲۷ تیر ۹۷ 654 بازدید
چکیده مطلب:

سلام خدمت کاربران عزیز اولترا سیکوریتی   خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم. طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث […]

سلام خدمت کاربران عزیز اولترا سیکوریتی

 

خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم.

طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی

در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث میشه باگ به وجود بیاد طبق تصویر زیر:

 

و خب اگر کاربر به صورت زیر درخواست به فایل test.php بده میتونه فایل مورد نظر خودش فراخوانی کنه :

 

خب حالا چیکار میتونیم بکنیم در مورد این باگ ؟

بهترین راه اینه که مقداری که کاربر میتونه ویرایش کنه رو فیلتر کنیم تا فایل های دیگه رو نتونه فراخونی کنه.

خب کد امن ما به صورت زیر میشه :

 

 

تو این کد ما از تابع strstr استفاده میکنیم تا بتونیم توی مقدار متغییر page$ سرچ کنیم و اینجا شرط گذاشتیم

اگر رشته ی “/..” درون متغییر وجود داشت برای ما روی صفحه متن مورد نظر رو چاپ کن در غیر این صورت بیا فایل

مورد نظر رو فراخوانی کن اینجوری اگر نفوذگر بخواد درخواست رو ویرایش کنه با متن مورد نظر ما مواجه میشه و دیگه

فایل مورد نظرش فراخوانی نخواهد شد:

 

 

 

در مطالب بعدی دیگر باگ هارو تحلیل میکنیم و نحوه امن شدن در مقابل اون باگ هم توضیح خواهیم داد موفق باشین 🙂

 

    مطالب پیشنهادی اولترا سیکوریتی
    آموزش تست نفوذ پروتکل RDP روی ویندوز

    سلام خدمت کاربران اولترا سیکوریتی   خب عزیزان تو این پست قراره بیایم روی یکی...

    آموزش ویدیویی شبکه – دستگاه های شبکه

    سلام خدمت کاربران  اولترا سیکوریتی   در ویدئو شماره ۴ شبکه‌های کامپیوتری، پیشنیاز تست نفوذ...

    رت (RAT) چیه؟

      سلام خدمت تمامی کاربران اولترا سیکوریتی   شاید تا الان خیلی جاها کلمه رت...

    محبوب ترین دوره های آنلاین مشاهده تمامی دوره ها
    دوره آموزشی ساخت بات نت متصل به تلگرام با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ساخت بات...

    دوره آموزشی ویروس نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ویروس نویسی...

    دوره آموزشی نفوذگر سبز-آموزش تست نفوذ با اندورید

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی نفوذگر سبز-آموزش...

    کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

    طراحی و توسعه توسط اولترا سیکوریتی