Webové servery sú hostiteľmi súborov (webové stránky, obrázky, videá, formuláre atď.), ktoré tvoria vašu webovú aplikáciu a poskytujú tieto súbory, keď niekto navštívi vašu webovú lokalitu. Niektoré servery sú pokročilejšie a tiež riadia, aký veľký prístup majú návštevníci webu. Môžu obmedziť bežných návštevníkov v prístupe k účtom iných používateľov alebo k administratívnym panelom. Hoci webové servery sú efektívne v tom, čo robia – a robia to pomerne bezpečne – útočníci môžu zneužiť chyby, ktoré vznikajú v dôsledku ľudskej chyby alebo chybnej logiky v tom, ako server obsluhuje súbory, ktoré hosťuje.
Čo je to útok LFI?
K útoku na vniknutie do lokálneho súboru (LFI) dochádza, keď útočníci využívajú zraniteľné miesta v tom, ako webový server ukladá, obsluhuje, overuje alebo riadi prístup k svojim súborom. Táto chyba zabezpečenia je spoločná pre webové stránky založené na PHP.
Na rozdiel od mnohých foriem kybernetických útokov, kde sa útočníci spoliehajú na malvér na poškodenie aplikácie, útočníci v LFI sa väčšinou spoliehajú na chytré triky a krátke riadky kódu. To si zriedka vyžaduje sofistikované nástroje alebo zložité skripty; útoky sa zvyčajne vyskytujú vo webovom prehliadači. Najbežnejším trikom, ktorý útočníci používajú, je úprava reťazca adresy URL pomocou kódu, ciest k súborom alebo názvov súborov.
Ako sa vyskytujú LFI útoky?
Útoky LFI sa zvyčajne vyskytujú v štyroch fázach.
Po prvé, útočník identifikuje webovú stránku PHP, na ktorej je spustená zraniteľná webová aplikácia, zvyčajne spustením základného kódu v adrese URL prehliadača, aby zistil, či webová aplikácia (t. j. lokalita) spracuje príkaz. Predstavte si to ako stláčanie kombinácií kláves na hernom ovládači na odomknutie veľkonočného vajíčka – povedzme napríklad stlačenie klávesu dole na vstup do tunelov v hre Super Mario. Príkazy, ktoré útočníci spúšťajú pri útokoch LFI, sú však konzistentnejšie ako kontrola každého tunela v hre Super Mario.
Webová aplikácia alebo server, ktorý bol nesprávne nakonfigurovaný alebo zlyhá pri overovaní vstupov, spustí škodlivý kód. Odtiaľ môže hacker získať prístup a privilégium, ktoré potrebuje na čítanie zraniteľných súborov alebo nahrávanie škodlivých súborov na server.
Väčšina útokov LFI vedie k tomu, že útočník získa citlivé informácie. Možnosť odovzdania škodlivého softvéru je zriedka úspešná, pretože neexistuje žiadna záruka, že webová aplikácia uloží súbor na rovnaký server, kde existuje zraniteľnosť LFI. Toto je často prípad, ak je webová aplikácia v prostredí viacerých serverov.
Ak teda zraniteľnosť LFI existuje na serveri, ktorý je hostiteľom obrázkov, ale nie na serveri, ktorý ukladá zamestnancov poverenia alebo používateľské heslá, útočník bude mať prístup iba k obrazovým súborom na tomto zraniteľnom serveri. Bez ohľadu na kybernetické udalosti ako napr útok na LastPass ukazujú, že hackeri môžu spôsobiť zmätok so zdanlivo najmenšou úrovňou prístupu.
Ako zabrániť útokom LFI
Útoky LFI sú podľa Otvorte projekt zabezpečenia webových aplikácií (OWASP). Je pochopiteľné, že hackeri by tento útok uprednostňovali, keďže, as W3Techs takmer 8 z 10 webových stránok používa PHP ako programovací jazyk na strane servera – takpovediac množstvo obetí. Je možné zabrániť útoku LFI prijatím osvedčených postupov zabezpečenia webu.
Biela listina súborov verejného servera
Webové aplikácie často používajú cesty k súborom ako vstupy URL. Hackeri môžu tento systém súborov zneužiť zmenou časti adresy URL, ktorá slúži ako cesta k súboru. Napríklad útočník sa môže zmeniť https://dummywebsite.com/?module=contact.php do https://dummywebsite.com/?module=/etc/passwd. Zraniteľný server so slabým filtrovaním a chybnou logikou zobrazí obsah súboru uloženého v ceste /etc/passwd.
Hackeri samozrejme používajú variácie bežných názvov súborov a kombinácie znakov dotazu, aby zvýšili šance na úspešný útok. Cieľom je oklamať webovú aplikáciu, aby spustila skript alebo zobrazila súbory na webovom serveri.
Túto chybu zabezpečenia môžete zablokovať vytvorením zoznamu povolených verejných dokumentov na svojom serveri a pokynom webovej aplikácii, aby ignorovala dotazy na každý ďalší dokument alebo cestu k súboru. Ak sa teda útočník pokúsi manipulovať s adresou URL, aby si vyžiadal alebo spustil kódy požadujúce súkromné, namiesto toho sa mu zobrazí chybová stránka.
Často testujte zraniteľnosti
Môžeš použiť nástroje na skenovanie webu nájsť a opraviť slabé miesta, ktoré by vás mohli vystaviť útokom LFI. Skenery webových aplikácií sú automatizované nástroje, ktoré prehľadávajú vašu aplikáciu ako útočník a upozorňujú vás na potenciálne zraniteľné miesta. Existuje niekoľko webových skenerov s otvoreným zdrojom, ako sú OpenVAS a Wireshark, ale väčšina skenerov zraniteľnosti je proprietárny softvér a vyžaduje si platené plány.
Webový skener však samozrejme nedostanete len na útoky LFI. Tieto nástroje tiež hľadajú širšie bezpečnostné chyby, ako napr vzdialené zahrnutie súboru, skriptovanie medzi lokalitami, SQL injection a zlé konfigurácie servera. Takže stoja za to.
Obmedziť oprávnenia návštevníka stránky
Hackeri často úspešne vykonávajú útoky LFI, pretože webové aplikácie nedokážu rozdeliť používateľské privilégiá a umožňujú návštevníkom prístup k súborom, ktoré by mali byť viditeľné iba pre správcov. Toto opatrenie funguje ako whitelisting: nakonfigurujte svoju webovú aplikáciu a server tak, aby poskytovali verejné súbory a ignorovali neoprávnené požiadavky, keď návštevník interaguje s webovou aplikáciou. Toto je obzvlášť dôležité pri dotazoch na cesty k súborom, ktoré obsahujú citlivé súbory.
Na tento účel možno budete musieť zabrániť priamej úprave ciest k súborom. Webová aplikácia by mala poskytovať iba dokumenty z pevne zakódovaného zoznamu ciest. Okrem toho nakonfigurujte webovú aplikáciu tak, aby namiesto funkcií base64 alebo bin2hex spracovávala požiadavky pomocou dynamického zreťazenia ciest (adresy URL by mali obsahovať alfanumerické znaky).
Ak uvažujete o umiestnení názvov súborov na čiernu listinu, nie. Hackeri majú zvyčajne rastúci zoznam názvov súborov, ktoré môžu použiť na vykonanie útoku LFI. Okrem toho je to prakticky nemožné (a kolosálna strata času) na čiernu listinu zoznamu neustále pribúdajúcich zdrojov útoku.
Použite prostredie viacerých serverov
Prostredie s viacerými servermi vám umožňuje izolovať dôležité, citlivé dokumenty od verejných súborov, čím sa znižuje riziko v prípade narušenia. Dedikované servery sú menej zraniteľné voči útokom LFI, pretože aj keď spolupracujú, ich konfigurácie sa líšia.
Okrem tohto zabezpečenia sú viaceré servery tiež spoľahlivé (s nižším rizikom výpadkov), rýchle a efektívne. Je pravda, že používanie prostredia s viacerými servermi nie je nákladovo efektívne, ak je váš web malý. V takom prípade zvážte rozdelenie prístupu vašej webovej aplikácie k údajom medzi databázu pre súkromné údaje a server pre verejné súbory.
Mali by ste sa obávať útokov LFI?
Existuje možnosť útoku LFI, najmä ak váš web beží na PHP, ale svoje vystavenie môžete znížiť konfiguráciou webových aplikácií a serverov podľa osvedčených postupov zabezpečenia webu.
Okrem toho by ste mali zvážiť vykonávanie bežných bezpečnostných kontrol, aby ste našli slabé miesta. Veci sa neustále lámu, najmä keď sa architektúra stránok stáva komplexnou. Nástroje, ktoré budete potrebovať na svoju ochranu, sú automatizované a mnohé z nich nevyžadujú komplikované nastavenie alebo pokročilé technické know-how.
