شما هم اکنون در حال مشاهده مطلب امنیت در مقابل باگ اپلکیشن وب (LFI-RFI) از اولترا سیکوریتی می باشید

این صفحه تاکنون 709 بار بازدید داشته است
امنیت در مقابل باگ اپلکیشن وب (LFI-RFI)
امنیت وب سایت ۲۷ تیر ۹۷ 709 بازدید
چکیده مطلب:

سلام خدمت کاربران عزیز اولترا سیکوریتی   خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم. طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث […]

سلام خدمت کاربران عزیز اولترا سیکوریتی

 

خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم.

طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی

در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث میشه باگ به وجود بیاد طبق تصویر زیر:

 

و خب اگر کاربر به صورت زیر درخواست به فایل test.php بده میتونه فایل مورد نظر خودش فراخوانی کنه :

 

خب حالا چیکار میتونیم بکنیم در مورد این باگ ؟

بهترین راه اینه که مقداری که کاربر میتونه ویرایش کنه رو فیلتر کنیم تا فایل های دیگه رو نتونه فراخونی کنه.

خب کد امن ما به صورت زیر میشه :

 

 

تو این کد ما از تابع strstr استفاده میکنیم تا بتونیم توی مقدار متغییر page$ سرچ کنیم و اینجا شرط گذاشتیم

اگر رشته ی “/..” درون متغییر وجود داشت برای ما روی صفحه متن مورد نظر رو چاپ کن در غیر این صورت بیا فایل

مورد نظر رو فراخوانی کن اینجوری اگر نفوذگر بخواد درخواست رو ویرایش کنه با متن مورد نظر ما مواجه میشه و دیگه

فایل مورد نظرش فراخوانی نخواهد شد:

 

 

 

در مطالب بعدی دیگر باگ هارو تحلیل میکنیم و نحوه امن شدن در مقابل اون باگ هم توضیح خواهیم داد موفق باشین 🙂

 

    مطالب پیشنهادی اولترا سیکوریتی
    ارسال header به سمت سایت با پایتون

    سلام خدمت کاربران اولترا سیکوریتی   تو این پست قصد داریم بررسی کنیم که چجوری...

    آموزش تست نفوذ mac os و ios با ابزار EggShell

      سلام خدمت تمامی کاربران عزیز  وبسایت اولترا سیکوریتی تو این بخش رفتیم سراغ محصولات...

    محبوب ترین دوره های آنلاین مشاهده تمامی دوره ها
    دوره آموزشی ساخت بات نت متصل به تلگرام با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ساخت بات...

    دوره آموزشی ویروس نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ویروس نویسی...

    دوره آموزشی نفوذگر سبز-آموزش تست نفوذ با اندورید

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی نفوذگر سبز-آموزش...

    کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

    طراحی و توسعه توسط اولترا سیکوریتی