RFI: ¿esto es posible incluso si utiliza un servidor de aplicaciones?

1

Dado que JBoss está actuando como un middleware - Servidor de aplicaciones - Me preguntaba si todavía es posible enfrentar los ataques de inclusión de archivos. (?) La razón por la que estaba vagando es que, en tal caso, no se enviará ninguna solicitud directamente. a cualquier servidor de almacenamiento o base de datos, ya que JBoss estará en el medio de la comunicación para verificar la validez, etc., por lo que pensé que el RFI / LFI podría evitarse mediante el uso de servidores de aplicaciones.

Si es posible, ¿qué se puede hacer para prevenir los ataques de inclusión de archivos? - sin incluir asegurarse de que PHP sea lo suficientemente inmune a los códigos maliciosos

OS: RHEL 7

Servidor de aplicaciones: JBoss

    
pregunta Parsa Samet 14.01.2017 - 13:33
fuente

1 respuesta

3

Es posible tener un ataque de inclusión de archivos en JBoss (por ejemplo, código de explotación: enlace ).

He probado la ejecución remota de código & si hubieran llegado las instancias para presentar inclusiones como las siguientes:

Puedeencontrarunaexplicaciónmásdetalladadeestoen: enlace

Desde entonces, es Java Tier; incluso el middleware podría ser propenso a los ataques dados en el contexto de que las Inclusiones de archivos (ya sea de forma remota o local) se detecten debido a la falta de saneamiento o validaciones adecuadas.

Código de ejemplo:

<jsp:include page="<%=(String)request.getParameter(\"template\")%>">

El código de muestra toma un nombre de plantilla especificado por el usuario y lo incluye en la página JSP para ser procesado. Esto podría ser una inclusión de archivos locales. Sin embargo, RCE existe en JBoss & podría manipularse fácilmente para lograr una mayor escalada en inclusiones de archivos.

    
respondido por el Shritam Bhowmick 14.01.2017 - 15:30
fuente

Lea otras preguntas en las etiquetas