Methoden zur Website Infiltrierung - Remote File Inclusion
|
27. April 2010
Posted in
Tipps und Tricks -
Webmaster
| Beitragsseiten |
|---|
| Methoden zur Website Infiltrierung |
| sql-injection |
| remote-file-inclusion |
| cross-site-scripting |
| Alle Seiten |
Remote File Inclusion
Der Begriff Remote File Inclusion beschreibt eine Sicherheitslücke in Skript-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode in den Webserver einzuschleusen und dort auszuführen.
Gebräuchlich ist der Begriff Remote File Inclusion vor allem im Zusammenhang mit der Skriptsprache PHP, trifft jedoch auch auf andere Skriptsprachen zu, die ähnliche Fähigkeiten wie PHP bieten.
Erklärung am Beispiel PHP
Die PHP-Anweisungen include und require (sowie include_once und require_once) dienen zum Einbinden von zusätzlichen PHP-Skriptdateien in das laufende Skript.
Die Sicherheitslücke entsteht dann, wenn Benutzereingaben ungenügend geprüft als Parameter für diese Anweisung verwendet werden.
Das kann dazu führen, dass ungewollte PHP-Skriptdateien ausgeführt werden.
Im schlimmsten Fall kann ein Angreifer damit sogar Programmcode, der von einem fremden Webserver ausgeliefert wird, zur Ausführung bringen.
Meist werden Remote File Inclusion Angriffe dazu genutzt Webseiten zu "hacken" ohne das weitere schädliche Maßnahmen vom Angreifer ergriffen werden.
Ein Remote File Inclusion Angriff kann jedoch auch dazu genutzt werden, die Kontrolle über die Webseite zu übernehmen und dann beispielsweise den Server für den Versand von Spam Mails zu missbrauchen.
Die Gefahr eines solchen Angriffs besteht darin, dass der Webmaster für die begangenen rechtswidrigen Taten haftbar gemacht werden kann. Wird also ein Remote File Inclusion Angriff dazu genutzt illegale Handlungen mit dem übernommenen Server auszuführen, kann der betroffene Webmaster große Probleme bekommen.
Die grundlegenste Maßnahme, diese Angriffe zu verhindern, liegt in der Konfiguration von PHP selbst:
Dazu sind die Optionen register_globals und allow_url_fopen zu deaktivieren.
Da der Webmaster daruf nicht wirklich Einfluß nehmen kann, müßte er dazu seinen Hoster bitten, dies zu deaktivieren.
Mit Logfile Analysern kann jedoch der Webmaster überprüfen, ob und wie diese Angriffe (und andere) auf seiner Webseite erfolgen.
Die beste und nachhaltigste Abwehrmaßnahme ist jedoch eine Code-Änderung der verwendeten Scripte.
Mit der Version 5.2 ist die Konfigurationsoption allow_url_include hinzugekommen, mit der separat nur das Einbinden und Ausführen entfernter Ressourcen mittels der genannten PHP-Anweisungen verboten werden kann.
Bitte beachtet die Nutzungsbedingungen
Zu beachten sind auch diese Regeln.
Wer sich nicht an diese Regeln hält, bekommt das Schreibrecht für eine gewisse Zeit entzogen.
Dauerndes Verstoßen gegen die Regeln zieht eine Sperrung des Zugangs nach sich.