السلام عليكم ورحمة الله تعالي وبركاته
حديثي عن ثغرة ال Remote File Include
هي عبارة عن خطاء برمجي و يعمل هذا التنوع من إدراج ملف خارجي بشكل غير شرعي. يقوم الهكر من خلال هذه الثغره بإدراج ملف PHP SHELL يستطيع من خلاله التلاعب بالموقع و قد يصل التلاعب الي الخادم كاملاً.
كيف يتم الإصابه بهذه الثغره ؟؟ :-----
يتم الإصابه عن طريق الدوال التالية :-
( Require_once و Require و Include_once و Include ) متبوعة بي $ نأخذ مثلاً كود مصاب .
<?php
$ghost = $_GET['hacked'];
include ($ghost);
?>
بالسطر الاول تم وضع متغير بإسم ghost و إعطائه القيمه التاليه hacked و في السطر الثاني من الكود تم إستخدام الداله include و إستخدام علامة $ قبل اسم المتغير ghost
كيف يمكن تامين البرنامج من هذا النوع ؟
بيكون الترقيع او التعديل عن تغير الاسم المتغير المصاب ل ( ./ )
يعني ترقيع الكود السابق :---
<?php
$ghost = $_GET['hacked'];
$ghost = “./”;
include ($ghost);
?>
مع استبدال ghost بإسم المتغير الملحق بال$
أرجو انا ينال إعجباكم و تقيمكم
12-01-2010, 02:00 PM
للمبتدئين مثلي أتحدث عن تغرة Remote File Include
العرض الشجري