RFI: è possibile anche se si utilizza un server applicazioni?

1

Poiché JBoss funge da middleware - Application Server - mi chiedevo se è ancora possibile affrontare attacchi File Inclusion. (?) Il motivo per cui stavo vagando è che, in tal caso, nessuna richiesta verrà inviata direttamente a qualsiasi server Storage o DataBase poiché JBoss passerà nel mezzo della comunicazione per verificare la validità e così via, quindi ho pensato che RFI / LFI potrebbe essere già prevenuto utilizzando Application Server.

Se è ancora possibile, cosa si può fare per prevenire gli attacchi File Inclusion? - Senza contare che PHP sia abbastanza immune da codici maligni

SO: RHEL 7

Server delle applicazioni: JBoss

    
posta Parsa Samet 14.01.2017 - 13:33
fonte

1 risposta

3

È possibile avere un attacco di inclusione di file su JBoss (ad es. codice exploit: link ).

Ho provato l'esecuzione di Remote Code & se le sue istanze sono atterrato a file inclusioni come la seguente:

Unaspiegazionepiùdettagliatadiquestosipuòtrovaresu: link

Poiché è il livello Java; anche il middleware potrebbe essere soggetto ad attacchi dati nel contesto in cui File Inclusions (sia remoto che locale) viene catturato a causa della mancanza di una corretta sanificazione o convalida.

Codice di esempio:

<jsp:include page="<%=(String)request.getParameter(\"template\")%>">

Il codice di esempio accetta un nome di modello specificato dall'utente e lo include nella pagina JSP da sottoporre a rendering. Questo potrebbe essere un inserimento di file locale. Tuttavia, RCE esiste in JBoss & potrebbe essere facilmente manipolato per ottenere un'ulteriore escalation in inclusioni di file.

    
risposta data 14.01.2017 - 15:30
fonte

Leggi altre domande sui tag