شما هم اکنون در حال مشاهده مطلب علت به وجود آمدن باگ در اپلکیشن وب (LFI-RFI) از اولترا سیکوریتی می باشید

این صفحه تاکنون 790 بار بازدید داشته است
علت به وجود آمدن باگ در اپلکیشن وب (LFI-RFI)
تست نفوذ وب سایت ۱۶ تیر ۹۷ 790 بازدید
چکیده مطلب:

سلام خدمت کاربران عزیز اولترا سیکوریتی   تو این مطلب قصد داریم نحو به وجود اومدن آسیب پذیری LFI رو توضیح بدیم. LFI : مخفف Local File Inclusion هست, یعنی فراخوانی یک فایل به صورت محلی درون سیستم سرور از طریق وب سرور. چیزی که این آسیب پذیری رو به وجود میاره باز هم همون […]

سلام خدمت کاربران عزیز اولترا سیکوریتی

 

تو این مطلب قصد داریم نحو به وجود اومدن آسیب پذیری LFI رو توضیح بدیم.

LFI : مخفف Local File Inclusion هست, یعنی فراخوانی یک فایل به صورت محلی درون سیستم سرور از طریق وب سرور.

چیزی که این آسیب پذیری رو به وجود میاره باز هم همون برنامه نویسی php هست که به دلیل نقص درون کد این امکان برای نفوذگر

به وجود میاد تا فایل های روی سرور مارو فراخوانی کنه و بتونه محتوای اونو ببینه.

 

خب در این مورد برنامه نویس php میاد از طریق برخی دستورات یک فایل رو توی سورس php خودش فراخوانی میکنه

و این آسیب پذیری موقعی به وجود میاد که از طریق درگاهی فراخوانی کنه که کاربر هم بتونه اونو ویرایش کنه و این مورد

از طریق درگاه GET و POST برای کاربر امکان پذیر هست تا بتونه مقدار فایل فراخوانی شده رو تغییر بده.

 

توی php از این چهار دستور برای فراخوانی فایل استفاده میشود:

require
require_once
include
include_once

خب این کد آسیب پذیر می باشد:

 

خب در این کد میاد از طریق درگاه GET یه فایل رو فراخوانی میکنه فرض اینکه این فایل php به نام test هست و حالا اگر نفوذگر بیاد

به صورت زیر درخواست ارسال کنه میتونه محتوایات فایل های خواندنی رو ببینه:

 

خب مطلبی دیگه که میمونه اینه که RFI چیه ؟

 

RFI هم مخفف Remote File Inclusion هست یعنی شما توانایی اینو دارین که بتونین فایل های دیگه روی یک سرور دیگه رو فراخوانی کنید,

به فرض مثال اگر یک فایل آپلودر php روی سرور دیگه دارین و لینک اونو در جلوی درگاه GET وارد کنید اون آپلودر در این اینجا فراخوانی میشه و شما میتونید

فایل آپلود کنبد, به صورت زیر:

 

 

 

امیدوارم مطلب رو متوجه شده باشین 🙂 در مطالب بعدی دیگر باگ هارو تحلیل خواهیم کرد.

    دیدگاه کاربران
    1. hadi گفت:

      سلام
      من خودم کارم طراحی سایت هستش بسیار جذاب و کاربردی بود برام

    مطالب پیشنهادی اولترا سیکوریتی
    آموزش نصب Vmware Tools روی کالی لینوکس

      سلام خدمت تمامی کاربران عزیز وبسایت تیم امنیتی اولترا   امروزه در جاهای زیادی...

    آموزش حمله Paste Jacking

    سلام خدمت تمامی کاربران اولترا سیکوریتی   تو این پست میخوام راجب حمله ای صحبت...

    محبوب ترین دوره های آنلاین مشاهده تمامی دوره ها
    دوره آموزشی باج افزار نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی باج افزار...

    دوره آموزشی ساخت بات نت متصل به تلگرام با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ساخت بات...

    دوره آموزشی ویروس نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ویروس نویسی...

    کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

    طراحی و توسعه توسط اولترا سیکوریتی