Веб сервери хостују датотеке (веб странице, слике, видео записе, обрасце, итд.) које чине вашу веб апликацију и послужују ове датотеке када неко посети вашу веб локацију. Неки сервери су напреднији и такође контролишу колико приступа посетиоци веба имају. Они могу ограничити редовним посетиоцима приступ налозима других корисника или административним контролним таблама. Иако су веб сервери ефикасни у ономе што раде — и то раде прилично безбедно — нападачи могу да искористе грешке које произилазе из људске грешке или погрешне логике у начину на који сервер опслужује датотеке које хостује.
Шта је ЛФИ напад?
Лоцал Филе Интрусион (ЛФИ) напад се дешава када нападачи искористе рањивости у начину на који веб сервер складишти, опслужује, потврђује или контролише приступ својим датотекама. Ова рањивост је уобичајена за веб локације засноване на ПХП-у.
За разлику од многих облика сајбер напада где се нападачи ослањају на малвер да би оштетили апликацију, нападачи у ЛФИ-овима се углавном ослањају на паметне трикове и кратке линије кода. Ово ретко захтева софистициране алате или сложене скрипте; напади се обично дешавају на веб претраживачу. Најчешћи трик који нападачи користе је модификација УРЛ стринга кодом, путањама датотека или именима датотека.
Како се дешавају ЛФИ напади?
ЛФИ напади се обично дешавају у четири фазе.
Прво, нападач идентификује ПХП веб локацију која покреће рањиву веб апликацију, обично покретањем основног кода у УРЛ-у претраживача да види да ли веб апликација (тј. сајт) рукује командом. Замислите то као притискање комбинација тастера на контролеру игре да бисте откључали ускршње јаје—рецимо, на пример, притискање тастера надоле да бисте ушли у тунеле у Супер Марију. Али команде које нападачи извршавају у ЛФИ нападима су доследније од провере сваког тунела у Супер Марију.
Веб апликација или сервер који је неправилно конфигурисан или не успе да потврди уносе извршиће злонамерни код. Одавде, хакер може добити приступ и привилегију која им је потребна за читање рањивих датотека или отпремање злонамерних датотека на сервер.
Већина ЛФИ напада доводи до тога да нападач приступа осетљивим информацијама. Могућност отпремања малвера ретко је успешна јер нема гаранције да ће веб апликација сачувати датотеку на истом серверу где постоји ЛФИ рањивост. Ово је често случај ако је веб апликација у окружењу са више сервера.
Дакле, ако ЛФИ рањивост постоји на серверу који хостује слике, али не и серверу који чува запослене акредитиве или корисничке лозинке, нападач би имао приступ само датотекама слика на том рањивом серверу. Без обзира на то, сајбер догађаји попут напад на ЛастПасс показују да хакери могу да изазову хаос са наизглед најбезначајнијим нивоом приступа.
Како спречити ЛФИ нападе
ЛФИ напади су прилично чести, према Отворите пројекат безбедности веб апликација (ОВАСП). Разумљиво, хакери би фаворизовали овај напад јер, као В3Тецхс Према извештајима, скоро осам од 10 веб-сајтова користи ПХП као програмски језик на страни сервера – обиље жртава, да тако кажем. Могуће је спречити ЛФИ напад усвајањем најбољих пракси веб безбедности.
Бела листа јавних серверских датотека
Веб апликације често користе путање датотека као УРЛ улазе. Хакери могу да искористе овај систем архивирања променом дела УРЛ-а који служи као путања датотеке. На пример, нападач се може променити https://dummywebsite.com/?module=contact.php до https://dummywebsite.com/?module=/etc/passwd. Рањив сервер са лошим филтрирањем и погрешном логиком ће приказати садржај датотеке ускладиштене на путањи /етц/пассвд.
Наравно, хакери користе варијације уобичајених имена датотека и комбинације знакова упита да повећају шансе за успешан напад. Циљ је преварити веб апликацију да покрене скрипту или прикаже датотеке на веб серверу.
Ову рањивост можете блокирати тако што ћете креирати белу листу јавних докумената на вашем серверу и упутити веб апликацију да занемари упите за сваки други документ или путању датотеке. Дакле, ако нападач покуша да манипулише УРЛ-ом да би захтевао или покренуо кодове који захтевају приватно, уместо тога ће добити страницу са грешком.
Често тестирајте рањивости
Можете користити алати за веб скенирање да пронађете и поправите рањивости које би вас могле изложити ЛФИ нападима. Скенери веб апликација су аутоматизовани алати који пописују вашу апликацију као нападач и упозоравају вас на потенцијалне рањивости. Постоји неколико веб скенера отвореног кода као што су ОпенВАС и Виресхарк, али већина скенера рањивости је власнички софтвер и захтевају плаћене планове за коришћење.
Али, наравно, не добијате веб скенер само за ЛФИ нападе. Ови алати такође траже шире безбедносне пропусте као што су даљинско укључивање датотеке, скриптовање на више локација, СКЛ ињекција и лоше конфигурације сервера. Дакле, вреде.
Ограничите привилегије посетилаца сајта
Хакери често успешно извршавају ЛФИ нападе јер веб апликације не успевају да раздвоје корисничке привилегије и на тај начин дозвољавају посетиоцима да приступе датотекама које би требало да буду видљиве само администраторима. Ова мера функционише као стављање на белу листу: конфигуришите своју веб апликацију и сервер тако да послужују јавне датотеке и занемарују неовлашћене захтеве када посетилац ступи у интеракцију са веб апликацијом. Ово је посебно важно за упите до путања датотека које садрже осетљиве датотеке.
У ту сврху, можда ћете морати да спречите директну измену путања датотека. Веб-апликација треба да служи само документе са тврдо кодиране листе путања. Штавише, конфигуришите веб апликацију да обрађује захтеве са динамичком конкатенацијом путања (УРЛ-ови треба да садрже алфанумеричке знакове) уместо басе64 или бин2хек функција.
Ако размишљате о стављању имена датотека на црну листу, немојте. Хакери обично имају растућу листу имена датотека које могу користити за извршење ЛФИ напада. Осим тога, то је практично немогуће (и колосалан губитак времена) на црну листу извора који се стално повећавају напада.
Користите окружење са више сервера
Окружење са више сервера вам омогућава да изолујете важне, осетљиве документе из јавних датотека, чиме се смањује ризик у случају кршења. Наменски сервери су мање рањиви на ЛФИ нападе јер, иако раде заједно, њихове конфигурације се разликују.
Поред ове сигурности, више сервера је такође поуздано (са мањим ризиком од застоја), брзо и ефикасно. Истина, коришћење окружења са више сервера није исплативо ако је ваша веб локација мала. У том случају, размислите о подели приступа ваше веб апликације подацима између базе података за приватне податке и сервера за јавне датотеке.
Да ли треба да будете забринути због ЛФИ напада?
Постоји могућност ЛФИ напада, посебно ако ваша веб локација ради на ПХП-у, али можете смањити своју изложеност конфигурисањем веб апликација и сервера у складу са најбољим праксама за веб безбедност.
Штавише, требало би да размислите о обављању рутинских безбедносних провера да бисте пронашли рањивости. Ствари се стално ломе, посебно када архитектура сајта постаје сложена. Алати који ће вам требати да бисте се заштитили су аутоматизовани, а многи не захтевају детаљно подешавање или напредно техничко знање.