Remote File Inclusion

Remote File Inclusion

Der Begriff Remote File Inclusion beschreibt eine Sicherheitslücke in Skript-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode in den Webserver einzuschleusen und dort auszuführen.

Gebräuchlich ist der Begriff Remote File Inclusion im Zusammenhang mit der Skriptsprache PHP, trifft jedoch auch auf andere Skriptsprachen zu, die ähnliche Fähigkeiten wie PHP bieten.

PHP betreffende Erläuterung

Die PHP-Anweisungen include und require (sowie include_once und require_once) dienen zum Einbinden von zusätzlichen PHP-Skriptdateien in das laufende Skript. Die Sicherheitslücke entsteht, wenn Benutzereingaben ungenügend geprüft als Parameter für diese Anweisung verwendet werden. Das kann dazu führen, dass ungewollte PHP-Skriptdateien ausgeführt werden. Im schlimmsten Fall kann ein Angreifer damit sogar Programmcode, der von einem fremden Webserver ausgeliefert wird, zur Ausführung bringen.

Da die Sicherheitslücke durch Schwachstellen in der Programmierung entsteht, kann nur eine Änderung des Skriptes Abhilfe schaffen. PHP selbst bietet zudem die Konfigurationsoption allow_url_fopen an, mit der das Öffnen von URLs verboten werden kann, was aber auch gleichzeitig andere Funktionen einschränkt. In PHP 5.2 ist deshalb die Konfigurationsoption allow_url_include hinzugekommen, mit der separat nur das Einbinden und Ausführen entfernter Ressourcen mittels der genannten PHP-Anweisungen verboten werden kann.

Siehe auch: Directory Traversal

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Remote File Inclusion — (RFI) is a technique used to attack Internet websites from a remote computer. With malicious intent, it can be combined with the usage of XSA to harm a webserver.How the attack worksRemote File Inclusion attacks allow malicious users to run their …   Wikipedia

  • Remote File Inclusion — Saltar a navegación, búsqueda RFI (Remote File Inclusion), traducido al español como Inclusión Remota de Archivos vulnerabilidad existente solamente en páginas dinámicas en PHP que permite el enlace de archivos remotos situados en otros… …   Wikipedia Español

  • Australian College of Rural and Remote Medicine — (ACRRM) has a current membership of around 2,500 including fellows, registrars, practitioners and students. [cite web| title = Australian College of Rural and Remote Medicine| publisher = ACRRM| url = http://www.acrrm.org.au| accessdate = 2007 09 …   Wikipedia

  • Comparison of file managers — The following tables compare general and technical information for a number of notable file managers. Contents 1 General information 2 Operating system support 2.1 Cross platform file managers 2.2 …   Wikipedia

  • Code injection — is the exploitation of a computer bug that is caused by processing invalid data. Code injection can be used by an attacker to introduce (or inject ) code into a computer program to change the course of execution. The results of a code injection… …   Wikipedia

  • Code audit — A software code audit is a comprehensive analysis of source code in a programming project with the intent of discovering bugs, security breaches or violations of programming conventions. It is an integral part of the defensive programming… …   Wikipedia

  • Exploit (informatique) — Pour les articles homonymes, voir Exploit. Un exploit est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou un logiciel malveillant d exploiter une faille de sécurité informatique dans un système d… …   Wikipédia en Français

  • RFI — can mean: * Radio Frequency Interference * Radio France Internationale * Relative fluorescence intensity * Room for Improvement * Ready for issue US government term for equipment ready for use * Remote File Inclusion * Request For Information, a… …   Wikipedia

  • RFI — Die Abkürzung RFI steht für Radiative Forcing Index, ein Maß für die Wirkung von Treibhausgasen auf den Treibhauseffekt Radio France Internationale, den Auslandsrundfunk Frankreichs Radio Frequency Identification, ein Verfahren zur automatischen… …   Deutsch Wikipedia

  • RFI — Saltar a navegación, búsqueda Las siglas RFI puede referirse a: Remote File Inclusion (RFI) Una vulnerabilidad existente en las páginas web diseñadas en PHP Radio Francia Internacional El servicio público de radio internacional del gobierno… …   Wikipedia Español

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”