Локальное и удаленное включение файлов [Duckademy]

Ianuaria · 8 янв 2019

Локальное и удаленное включение файлов

Формат: видео, 1,5 часа

Язык курса: английский

Описание:

Атаки локального и удаленного включения (LFI/RFI) популярны среди хакеров. Эта уязвимость затрагивает приложения на PHP, поэтому огромное множество веб-сайтов могут быть подвержены ей.

В этом курсе мы изучим, как работает эта техника и как избежать запуска вредоносного кода злоумышленника на своем сервере. Мы рассмотрим методы противодействия данному типу атак, а также различные возможности заливки бэкдоров, через веб-формы, базы данных, отравление логов, файлы сессий и метод PUT.

Содержание:

1. Введение в LFI/RFI.

Установка тестового окружения. Ищем уязвимости LFI/RFI. На практических примерах вы поймете причину возникновения подобных уязвимостей.

2. Техники загрузки бэкдоров.

Изучаем различные способы загрузки бэкдоров, чтобы иметь возможность вызвать наш код посредством LFI-атаки. Загружаем бэкдоры на веб-страницы, загружаем файл при доступном HTTP-методе PUT, вставляем бэкдор при наличии возможности записи в базу данных. Также загрузим бэкдор при отсутствии возможности записи (отравление файла лога). В ходе работы активно используется Burp Suite.