May 17
Hacking non è solo di craccare le password o la ricerca di backdoor nei sistemi. hacker Clever trovare il modo di utilizzare le funzioni proprie di un programma contro di essa. Un esempio è un attacco RFI, in cui un hacker utilizza un proprio sistema di navigazione di un sito web per importare un file RFI contenente codice dannoso in suo server.
attacchi RFI si verificano quando un hacker manipola l'URL di un sito web sta tentando di accedere, per renderlo importare codice dell'hacker al posto dei file sul server, che il web designer destinato a. Questi attacchi sono pericolose perché quando i trucchi degli hacker della pagina web in richiamare i suoi dati, il codice eseguirà sul server con tutte le autorizzazioni della pagina web principale.
Il file che un hacker trucchi di un sito web in importazione è ospitato su un server remoto. Il contenuto e il formato del file variano a seconda dello scopo dell'attacco, ma questi file sono di solito i file di testo. In questo modo, il server leggerà il codice prima per l'esecuzione. Gli hacker a volte utilizzare un'estensione diversa da ".txt" - come ad esempio ".jpg" o ".gif" - per cercare di meccanismi di server trucco che proteggono contro gli attacchi RFI.
attacchi RFI sfruttano i siti web che consentono ai visitatori di modificare direttamente le variabili nel programma del sistema attraverso la barra degli indirizzi; per esempio, in PHP, quando un sistema di gestione dei contenuti utilizza la funzione "GET" per impostare quali contenuti dovrebbe visualizzare una pagina. Facendo clic sui link sul sito web farà sì che il browser di visualizzare variabili PHP, il segno di uguale, e il valore di tale variabile viene impostata. Impostando manualmente il valore dopo il segno di uguale, un hacker può impostare questa variabile se stesso e rendere l'accesso pagina web il suo file di RFI.
Mentre è facile per un hacker per cercare di forzare un sito per caricare un file di RFI, è anche una questione semplice per evitare questo. Un programmatore web può impedire aggiungendo una funzione per il suo sistema di gestione dei contenuti che controlla per assicurarsi che ciascun file che passava attraverso la variabile esiste effettivamente sul server. Se non esiste, allora la funzione non carica il file e preserva l'integrità del server.