شما هم اکنون در حال مشاهده مطلب امنیت در مقابل باگ اپلکیشن وب (LFI-RFI) از اولترا سیکوریتی می باشید

این صفحه تاکنون 747 بار بازدید داشته است
امنیت در مقابل باگ اپلکیشن وب (LFI-RFI)
امنیت وب سایت ۲۷ تیر ۹۷ 747 بازدید
چکیده مطلب:

سلام خدمت کاربران عزیز اولترا سیکوریتی   خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم. طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث […]

سلام خدمت کاربران عزیز اولترا سیکوریتی

 

خب دوستان تو مطلب قبلی باگ LFI-RFI رو تحلیل کردیم و نحوه به وجود اومدن باگ رو توضیح دادیم.

طبق این باگ اگر بیایم فایل ها رو با توابع php درون سورس خودمون فراخوانی کنیم و اگر این فراخونی

در دسترس کاربر باشد یعنی قابل ویرایش باشد باعث میشه باگ به وجود بیاد طبق تصویر زیر:

 

و خب اگر کاربر به صورت زیر درخواست به فایل test.php بده میتونه فایل مورد نظر خودش فراخوانی کنه :

 

خب حالا چیکار میتونیم بکنیم در مورد این باگ ؟

بهترین راه اینه که مقداری که کاربر میتونه ویرایش کنه رو فیلتر کنیم تا فایل های دیگه رو نتونه فراخونی کنه.

خب کد امن ما به صورت زیر میشه :

 

 

تو این کد ما از تابع strstr استفاده میکنیم تا بتونیم توی مقدار متغییر page$ سرچ کنیم و اینجا شرط گذاشتیم

اگر رشته ی “/..” درون متغییر وجود داشت برای ما روی صفحه متن مورد نظر رو چاپ کن در غیر این صورت بیا فایل

مورد نظر رو فراخوانی کن اینجوری اگر نفوذگر بخواد درخواست رو ویرایش کنه با متن مورد نظر ما مواجه میشه و دیگه

فایل مورد نظرش فراخوانی نخواهد شد:

 

 

 

در مطالب بعدی دیگر باگ هارو تحلیل میکنیم و نحوه امن شدن در مقابل اون باگ هم توضیح خواهیم داد موفق باشین 🙂

 

    مطالب پیشنهادی اولترا سیکوریتی
    محبوب ترین دوره های آنلاین مشاهده تمامی دوره ها
    دوره آموزشی باج افزار نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی باج افزار...

    دوره آموزشی ساخت بات نت متصل به تلگرام با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ساخت بات...

    دوره آموزشی ویروس نویسی با پایتون

      برای خرید این محصول برروی لینک زیر کلیک کنید   دوره آموزشی ویروس نویسی...

    کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

    طراحی و توسعه توسط اولترا سیکوریتی