File Inclusion

m09 - programación segura

vulnerabilidad de FILE INCLUSION

Anastasiia Levkina - Oriol ganzinelli

La vulnerabilidad de "File Inclusion" permite a los atacantes incluir archivos locales o remotos en aplicaciones web, lo que puede conducir a la ejecución de código no autorizado o la exposición de datos sensibles. Hay dos tipos principales: Local File Inclusion (LFI) Remote File Inclusion (RFI)

Local File Inclusion

Locale file inclusion es el proceso de explotar vulnerables proceduras con los ficheros presentes en el servidor a través de la manipulación de parámetros que aceptan nombres de archivos o rutas.Esta vulnerabilidad permite al atacante leer archivos del servidor que un usuario no ha de acceder (configuración, código fuente, etc).

Remote file inclusion

es una vulnerabilidad presente sólamente en páginas dinámicas en el lenguaje PHP y es causada por errores de pro gramació. como la falta de validación de los inputs del usuario. Permite a atacantes el enlace de archivos remotos situados en otros servidores.

http://example.com/index.php?page=file.php

los programas vulnerables son aquellos que cargan un archivo basado en un parámetro proporcionado en la url. si la aplicación no contiene medidas de seguredad adecuadas, un atacante podría manipular este parámetro para incluir un archivo local en el servidor al que no debería de acceder.

http://example.com/index.php?page=/etc/passwd

PREvenciones

Validar y filtrar las entradas de usuario mediante listas blancas.Utilizar rutas absolutas en lugar de relativas. Restringir los permisos de acceso a archivos. actualizar regularmente el software.

Grácias por su atención

fuentes:

• https://www.welivesecurity.com/la-es/2015/01/12/como-funciona-vulnerabilidad-local-file-inclusion/https://keepcoding.io/blog/tutorial-de-remote-file-inclusion/