Žodis angliškai:
Remote File Inclusion
Santrumpa:
RFI
Žodis lietuviškai:
Nuotolinis dokumentų įterpimas
Apibrėžimas:
Remote File Inclusion (RFI) – nuotolinis dokumentų įterpimas yra dažniausiai internetinėse svetainėse randamas pažeidžiamumas, kuris leidžia atakos iniciatoriui pasinaudojant tam tikru pažeidžiamu kodu internetinėje svetainėje nuotoliniu būdu įterpti joje savo dokumentą su kenkėjišku kodu. Pagrindinis RFI (Remote File Inclusion) skirtumas nuo LFI (Local File Inclusion) – RFI įgalina įterpti kenkėjišką kodą iš nuotolinės tarnybinės stoties, o LFI naudojamas dokumentų įterpimui pasitelkiant interneto naršyklę. Nuotolinio dokumentų įterpimo atakos veikimo principas remiasi web aplikacijos dinaminio dokumentų įterpimo mechanizmu. Kai web aplikacija priima naudotojo įvesties duomenis (URL, parametrų vertės ir t.t.) ir supranta juos kaip dokumentų įterpimą, web aplikacija gali priimti kenkėjišką kodą. Taigi nuotoliniam dokumentų įterpimui yra labiau pažeidžiamos web aplikacijos, kurios duomenų įterpimą atskiria pagal tam tikrus HTTP užklausos elementus. Nuotolinio dokumentų įterpimo pasekmės gali būti:
- Įterpto kodo vykdymas internetinėje svetainėje, kaip pvz. Internetinės svetainės duomenų paviešinimas arba duomenų vagystės, bei manipuliavimas duomenimis;
Įterpto kodo vykdymas internetinės svetainės naudotojo pusėje. Kaip pvz. JavaScript, kad gali privesti prie kitos rūšies atakų – cross site scripting (XSS);
- Atsisakymo aptarnauti atakos (DoS).
Nuotoliniam dokumentų įterpimui ypač pažeidžiamos yra PHP kalba paremto web aplikacijos, kadangi jos reimiasi pastoviu dokumentų įterpimo naudojimu, bei tarnybinės stoties pradinių nustatymų, kurie nėra saugūs.
Naudota literatūra:
http://projects.webappsec.org/w/page/13246955/Remote%20File%20Inclusion