ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

La vulnerabilidad


Enviado por   •  16 de Diciembre de 2013  •  Ensayo  •  738 Palabras (3 Páginas)  •  223 Visitas

Página 1 de 3

Hackeando Webs:

Remote File Inclusion

¡¡Enlazando con el diablo…!!

POR

HENRIQUE A.G (NeTTinG)

2.- Entrando en teoría… La vulnerabilidad:

La vulnerabilidad que vamos a estudiar en el presente artículo es conocida como Remote File Inclusión, que viene a ser Inclusión Remota de Archivos en perfecto castellano.

Esta técnica, solo podrá ser implementada en páginas dinámicas en PHP, para nada podrá ser implementado en páginas programadas en ASP, o otros lenguajes similares que no permitan la inclusión de archivos ajenos al servidor.

Como su nombre indica, esta técnica nos permite enlazar remotamente archivos que estén alojados en otros servidores. Dándonos la posibilidad de ejecutar comandos remotamente en dicho servidor, entre otras muchas posibilidades que ya veremos, tiempo al tiempo d;b.

Aunque, siendo un poco más técnico, la verdad es que el servidor vulnerable no ejecuta páginas dinámicas en PHP que no estén alojadas en su disco duro. Pero ya veremos en la práctica como podemos contrarrestar esto, de nuevo, tiempo al tiempo :)

Para poder realizar un “ataque” de Remote File Inclusion es necesario que la página dinámica programada en PHP este mal programada y que contenga la etiqueta include. De nuevo, otra vez más, todo esto lo veremos en la práctica, por ahora tan solo quiero que tengáis unos conocimientos teóricos para saber en que consiste el ataque o técnica, o como quieras llamarle, aquí todo al gusto del consumidor.

La etiqueta o función include en PHP, (resumiendo lo máximo posible) sirve para incluir dentro de una misma página varias otras páginas que contenga una serie de código que nos interesa usar para dicha página, entre otras posibilidades.

Como creo que no me he explicado lo mejor posible, pongamos un ejemplo:

3

Imagínate que estas creando una página web para una compañía, pongamos por caso, que esa compañía es un banco.

Imagínate que la compañía te exige, aparte de una buena imagen, facilidad y otras características que la página este enlazada con una base de datos, para que los usuarios de dicha compañía bancaria puedan acceder a la web y dentro de ella observar como va su economía.

Imagínate (si, ya se que soy pesado, pero la imaginación es buena) que eres de esos programadoras buenísimos que tiene más títulos que papeles hay en una papelería. Y que controlas al máximo la programación…

Imagina que cuando estas construyendo la web, descubres que es necesario introducir en todas las páginas un mismo código que cree la conexión con la base de datos. Entonces te das cuenta que tienes dos posibilidades (vale, vale, que puede a ver más, pero es para no salirnos del tema), crear en todas las páginas la conexión a la base de datos, caso que terminas rechazando por el numeroso trabajo y por el gran abuso de código repetitivo

...

Descargar como (para miembros actualizados) txt (5 Kb)
Leer 2 páginas más »
Disponible sólo en Clubensayos.com