Zararlı dosya çalıştırma zayıflığı, çok sayıda uygulamada bulunur. Bu açık, geliştiricilerin çoğunlukla sisteme girilen dosyalara güvenmelerinden kaynaklı olduğundan, potansiyel olarak zararlı olabilecek girişler ile buna bağlı fonksiyonları da beraberinde kabul etmelerinden kaynaklanır. Birçok platformda kullanılan uygulamalarda, URL’ler veya sistem kaynakları gibi, dış kaynaklı nesnelerin kullanımına izin verilir. Veriler yeterince incelenmediğinde, izinsiz erişimlere ve kötü niyetli içerik ile web sunucuya istek göndermeye neden olur.

Bu saldırgana aşağıda belirtilenleri yapma izni verir:

Uzaktan kod çalıştırma

Uzaktan rootkit kurma ve sistemin tamamını ele geçirme
Windows üzerinde, PHP’nin SMB dosyası kullanılarak dahili sistem ele geçirilebilir.

Bu saldırı özellike PHP’de yaygındır, ve üst düzeyde dikkat gerektirir. Bu açık tipi, stream veya dosya fonksiyonu kullanılması ile önem kazanmaktadır. Burada kullanıcı kaynaklı dosya isimleri kullanıcının inisiyatifine bırakılmaması gerekir.

ETKİLENEN ORTAMLAR

Kullanıcıdan dosya alan veya dosya isimlendirmeye izin veren tüm web uygulama platformları uzaktan dosya çalıştırma açığına sahip olabilir.

Tipik örnek içeriği : .NET platformunda, URL dosya isimlerinin özellikleri ve yerel olarak seçtiği dosya ile aynı isimde olup olmamasını belirlemek kullanıcının isteğine bağlıdır.

PHP özellikle saldırıya açıktır: PHP, uzaktan dosya içerik (RFI) saldırıları ile herhangi bir dosya veya akış (stream) tabanlı API ile sisteme zarar verilebilir.

ZAYIFLIK

Ortak zayıflık yapısı:

include $_REQUEST['filename’];

Bu sadece uzaktaki saldırgan betiklerin değerlendirilmesini sağlamaz,aynı zamanda yerel dosya sunucularına erişmesini (Eğer PHP Windows işletim sistemi üzerinde çalışıyorsa) PHP’nin dosya sistemindeki SMB desteğinden dolayı sağlar.

Saldırı içeren diğer yöntemler:
1. Kötü niyetli oturum dosyaları, günlük verileri veya resimler sisteme yüklenen platformlar (Tipik forum yazılımları)

2. Sıkıştırma veya gerçek zamanlı ses yayını yapmakta kullanılan, zlib:// veya ogg:// gibi PHP URL bayrağının incelenmediği ve uzaktan kaynak kullanımına ( _url_fopen veya allow_url_include ) izin verildiği platformlar.

3. php://input veya POST isteğinden veri alınan PHP wrapper’ları kullanıldığında

4. PHP verisi kullanıldığında : wrapper, data:;base64,PD9waHAgcGhwaW5mbygpOz8+ gibi…

Bu liste daha da uzatılabilir. (ve periyodik olarak güncellenebilir). Burada önemli olan, güvenliği sağlam olarak tasarlanmış bir yapıda, kullanıcı kaynaklı veri girişlerinin, sunucu tarafındaki dosya isimleri ve erişimleri ile etkileşimini göz önünde bulundurmaktır. PHP örneklerine karşın bu saldırılar farklı yollarla .NET ve J2EE platformlarına da yapılabilir. Bu platformlarda uygulamalar yazılırken özellikle kod erişim güvenliği mekanizmasına dikkat edilmeli,dosya isimleri ihtiyacı karşılayacak biçimde yapılandırılmalı ve kullanıcıya güvenlik kontrollerine etki edebileceği izinler verilmemelidir.

Be Sociable, Share!
Etiketler:, , , , , , ,
Bir cevap “Zararlı Dosya Çalıştırma Çalıştırma”
  1. Stctr diyor ki:

    Cok yararli bilgi sagol.

  2.  
Cevap yaz

*