Was ist ein RFI-Datei?
Hacking ist nicht nur um Passwörter zu knacken oder Backdoors in Systeme zu finden. Clevere Hacker finden Möglichkeiten ein Programm zu nutzen, um eigene Funktionen dagegen. Ein Beispiel dafür ist ein RFI-Angriff, in dem ein Hacker ein Navigationssystem der Website verwendet, um eine mit bösartigem Code in seine Server RFI-Datei importieren.
RFI-Angriffe
RFI-Attacken auftreten, wenn ein Hacker die URL eine Website versucht manipuliert, Zugriff auf um zu machen, der Hacker-Code anstelle der Dateien auf dem Server zu importieren, die der Webdesigner, die er soll. Diese Angriffe sind gefährlich, denn wenn die Hacker die Webseite zum Abruf seiner Daten verleitet, den Code auf dem Server mit allen Berechtigungen des Haupt-Webseite ausgeführt wird.
Inhalt der Datei
Die Datei, die ein Hacker-Tricks eine Website in importieren auf einem entfernten Server gehostet wird. Den Inhalt und das Format der Datei variieren je nach Zweck des Angriffs, aber solche Dateien sind in der Regel Textdateien. Auf diese Weise wird der Server in roh-Code zur Ausführung lesen. Hacker verwenden werden manchmal eine andere Erweiterung als ".txt"--wie ".jpg" oder ".gif"--zu versuchen und trick-Mechanismen, die RFI-Angriffen vorzubeugen.
Anfällige Websites
RFI-Angriffen ausgenutzt, Websites, mit denen Besucher Variablen in das System-Programm durch die URL-Leiste direkt zu ändern; z. B. in PHP, sollte wenn eine Content Managementsystem "GET"-Funktion verwendet, um festzulegen welche Inhalte eine Seite angezeigt werden. Klicken Links auf der Website führt dazu, dass des Browsers zur Anzeige von PHP-Variablen, das Gleichheitszeichen, und der Wert die Variable wird auf festgelegt. Durch manuelle Auswahl des Werts nach dem Gleichheitszeichen, kann ein Hacker setzen dieser Variable selbst und machen die Webseite seiner RFI-Datei zuzugreifen.
Ziele zu finden
Während es leicht für einen Hacker versuchen zu zwingen, eine Website eine RFI-Datei geladen ist, ist es auch eine einfache Sache, diesen Effekt. Ein Webprogrammierer können sie verhindern, indem Hinzufügen einer Funktion zu sein Content-Management-System, das überprüft, um sicherzustellen, dass jede Datei, die über die Variable übergeben, die tatsächlich auf dem Server vorhanden ist. Wenn es nicht vorhanden ist, die Funktion wird die Datei nicht geladen und bewahrt die Integrität des Servers.