RFI Remote File Inclusion en páginas php

RFI se trata de una vulnerabilidad de las páginas web programadas en php, debido al mal manejo de la funcion/etiqueta include, a traves de esta vulnerabilidad se puede enlazar archivos (páginas, formularios, etc)  alojadas en servidores remotos.

Para ser más explicativo, se propone un ejemplo. Tenemos nuestra página web llamada pagina y desde está nos permite enlazarnos a otra página a traves de la función include()

http://www.pagina.com/index.php?page=otrapagina.php

A través de la variable page, estamos incluyendo una nueva página, en este caso otrapagina.php

Como localizar página vulnerables RFI?

Una de las formas más fáciles para realizar esta tarea es mediante la utilización de dorks (utilización de operadores avanzados) en motores de búsqueda, tales como Google, Bing, Yahoo, etc.

En el caso sencillo que he utilizado es simplemente: “.php?page=http://”, y bueno, algunos resultados son:

Page vulnerable RFI
Page vulnerable RFI

otra:

Page vulnerable RFI

Page vulnerable RFI

y una mas:

Page vulnerable RFI

Page vulnerable RFI

Los riesgos

Si bien a simple vista parecería que esta vulnerabilidad no conlleva grandes riesgos, pues a través de RFI, se pueden enlazar formularios y enviarles la url completa a los usuarios de la página pidiendoles que actulicen sus datos, esto un ejemplo.

Otro es el que mediante esta vulnerabilidad es la inclusión de shells que abran terminales o lineas de comando para poder descargar y subir archivos y apoderarse del servidor.

  1. Hello there! Quick question that’s completely off topic. Do you know how to make your site mobile friendly? My blog looks weird when viewing from my iphone 4. I’m trying to find a template
    or plugin that might be able to resolve this problem.

    If you have any recommendations, please share.
    Cheers!

  2. I must thank you for the efforts you’ve put in writing this website. I am hoping to see the same high-grade blog posts by you in the future as well. In truth, your creative writing abilities has motivated me to get my own blog now😉

  3. Please let me know if you’re looking for a author for your site. You have some really good posts and I think I would be a good asset. If you ever want to take some of the load off, I’d absolutely love to write some content for your
    blog in exchange for a link back to mine. Please shoot me an email if
    interested. Regards!

  4. Wow, fantastic blog layout! How long have you been
    blogging for? you make blogging look easy. The overall look of your site is fantastic, let alone the content!

  5. Hey there! I know this is kinda off topic but I’d figured I’d ask.

    Would you be interested in trading links or maybe guest writing
    a blog post or vice-versa? My website addresses
    a lot of the same subjects as yours and I think we could greatly
    benefit from each other. If you are interested feel free to send me
    an email. I look forward to hearing from you! Awesome blog by the way!

  6. Güzel paylaşımlarda bulunuyorsunuz tebrikler

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: