RFI: ¿esto es posible incluso si utiliza un servidor de aplicaciones?

Question

RFI: ¿esto es posible incluso si utiliza un servidor de aplicaciones?

#1 de Shritam Bhowmick (3 votos)

1

Dado que JBoss está actuando como un middleware - Servidor de aplicaciones - Me preguntaba si todavía es posible enfrentar los ataques de inclusión de archivos. (?) La razón por la que estaba vagando es que, en tal caso, no se enviará ninguna solicitud directamente. a cualquier servidor de almacenamiento o base de datos, ya que JBoss estará en el medio de la comunicación para verificar la validez, etc., por lo que pensé que el RFI / LFI podría evitarse mediante el uso de servidores de aplicaciones.

Si es posible, ¿qué se puede hacer para prevenir los ataques de inclusión de archivos? - sin incluir asegurarse de que PHP sea lo suficientemente inmune a los códigos maliciosos

OS: RHEL 7

Servidor de aplicaciones: JBoss

linux file-upload shellcode centos file-inclusion

pregunta Parsa Samet 14.01.2017 - 13:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux file-upload shellcode centos file-inclusion

Cómo afecta la longitud de la clave simétrica a TLS si la PK del servidor es fuerte ENV exporta en docker entry_point.sh que se ejecuta desde CI

score 3 · Accepted Answer

Es posible tener un ataque de inclusión de archivos en JBoss (por ejemplo, código de explotación: enlace ).

He probado la ejecución remota de código & si hubieran llegado las instancias para presentar inclusiones como las siguientes:

Puedeencontrarunaexplicaciónmásdetalladadeestoen: enlace

Desde entonces, es Java Tier; incluso el middleware podría ser propenso a los ataques dados en el contexto de que las Inclusiones de archivos (ya sea de forma remota o local) se detecten debido a la falta de saneamiento o validaciones adecuadas.

Código de ejemplo:

<jsp:include page="<%=(String)request.getParameter(\"template\")%>">

El código de muestra toma un nombre de plantilla especificado por el usuario y lo incluye en la página JSP para ser procesado. Esto podría ser una inclusión de archivos locales. Sin embargo, RCE existe en JBoss & podría manipularse fácilmente para lograr una mayor escalada en inclusiones de archivos.