Menu

Daxil olun Qeydiyyat

Rfi açığı

Rfi açığı nədir

Rfi açığı nədir

Bu gün Rfi açığı barəsində danışacıyıq öz dilimizdə bu açıq barəsində məlumat görmədiyim üçün bu barədə yazmaq istədim bu açıq Dinamik səhifələrdə include,require,require_once,include_once kimi əməliyyatları məsuliyyətsizcə etdikdə yaranır Rfi vasitəsilə nə edə bilərik?

Rfi çox sadə bir üsulla hədəf sayta shell keçirdə bilərik və bununla yanaşı yalnız açıq olan saytı deyil serverdəki bütün saytlara attack edə bilərsiz(keçid mümkunsə)

Rfi açığından başqa Birdə Lfi var bəs bunların fərqi nədir?

Rfi-Remote File Include(Uzaqdan Fayl Çağırma)

Lfi-Local File Include(Yerli Fayl Çağırma)

Yuxarida Qeyd etdiyimiz kimi Rfi shell çağıra bilərsiz ama Lfi yox bəs Lfi vasitəsilə nə edə bilərəm?

Lfi serverdə olan faylları oxuya bilərsiz məsələn etc passwd kimi parolların saxlandığı məlumatları oxuya bilərsiz (Əksər serverlərdə qapalıdır)

Qısaca Lfi host daxilindəki məlumatları oxumaq olur

Bəs bu açıq necə yaranır?

Yuxarıda qeyd etdiyim kimi bu açıq include,include_once,require,require_once əməliyyatlarında məsuliyyətsiz istifadədə ortaya çıxır:

Məsələn kodlara baxaq


 

Bu kodu çalışdıraq

 

Gördüyümüz kimi get əmrinə http://google.ru yazdığımız üçün səhifə google.ru çağırdı biz ora hansı ünvanı yazsaq onuda çağıracaq Shell belə keçirtmək mümkündür(Shelli keçırtmək üçün qısa bir dəyişiklik etmək lazımdı)

Bəli kodun tamamlanmaması nəticəsinə açıq yaranır

Qeyd edim ki bu açıq ən çox bölmə yaradılarkən yaranır məsələn ?addim=contact.php ve kodda bir başa include"$_GET['addim']"; yazırlar bir sonraki dərsdə bu barədə danışacağıq

Növbəti dərslərdə Rfi serverdə bağlanmasını və yazdığımız kodlarda bağlanması qaydası ilə tanış olacağıq


Bizi dəstəkləyənlər