Blog

Les codeurs vainquent la sécurité : Share & Learn Series - Inclusion de fichiers à distance

Jaap Karan Singh
Publié le 18 juillet 2019

Ceux d'entre vous qui lisent cette série de blogs peuvent remarquer de nombreuses similitudes entre la vulnérabilité d'inclusion de fichiers à distance et la vulnérabilité d'inclusion de fichiers locaux et de traversée de chemin dont il a été question précédemment. Leurs causes profondes sont similaires, tout comme les correctifs recommandés.

À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi il convient de la détecter et d'y remédier dès que possible. Ou mieux encore, les applications web devraient être conçues de manière à éviter qu'elle ne se produise.

Dans cet épisode, vous apprendrez

  • Comment les pirates exploitent la vulnérabilité d'inclusion de fichiers à distance
  • Pourquoi il est dangereux d'autoriser l'inclusion de fichiers à distance
  • Les techniques permettant de résoudre ce problème.

Comment les attaquants exploitent-ils l'inclusion de fichiers à distance ?

La vulnérabilité d'inclusion de fichiers à distance tire parti de la commande ou du mécanisme d'inclusion dynamique de fichiers qui existe dans la plupart des cadres de programmation. Cette capacité est destinée à permettre aux développeurs d'utiliser des fichiers situés sur un serveur secondaire pour exécuter des activités sur le serveur d'application. Il est évident que cela peut s'avérer dangereux entre de mauvaises mains.

Les attaquants exploitent cette capacité en trouvant un site web ou une application qui permet une entrée utilisateur incontrôlée, qui peut provenir d'éléments tels que des en-têtes HTTP ou des zones d'entrée dans des formulaires interactifs. Ils s'en servent comme point de départ pour générer des commandes d'inclusion de fichiers.

Par exemple, si un site utilise la fonction GET pour charger des pages, comme page = request.getParameter("page") ; include page ; un pirate pourrait alors envoyer une requête en utilisant la commande page, mais avec l'URL d'un site qu'il contrôle et le chemin d'accès au fichier qu'il veut exécuter. La requête est alors transmise au serveur et le fichier distant est exécuté sur l'hôte. L'activité est autorisée car elle fait désormais partie de l'application de confiance.

Pourquoi la vulnérabilité d'inclusion de fichier à distance est-elle dangereuse ?

Le niveau de danger posé par l'inclusion de fichiers à distance est extrêmement élevé. Contrairement aux vulnérabilités liées à l'inclusion de fichiers locaux, où les fichiers qu'un attaquant exécute doivent exister sur un hôte et être trouvés par l'attaquant par tâtonnement, l'inclusion de fichiers à distance n'est soumise à aucune restriction de ce type. Il est évident qu'un attaquant connaît l'emplacement des fichiers qu'il veut exploiter puisqu'ils existent probablement sur ses propres machines ou sur des sites qu'il contrôle. Les fichiers peuvent également être choisis par le pirate et n'ont pas besoin d'exister sur la machine cible avant l'exploitation. Le fichier peut même consister en des scripts spécifiquement écrits pour exploiter un hôte distant.

En bref, une fois qu'un attaquant est en mesure de trouver et d'exploiter une vulnérabilité d'inclusion de fichier à distance, rien ne l'empêche de prendre le contrôle total d'une application ou même d'un site entier. Il est certain qu'aucune donnée stockée ne sera à l'abri de leur incursion.

Suppression de la vulnérabilité d'inclusion de fichiers à distance

Ne permettez jamais à l'utilisateur de passer directement à une commande d'inclusion de fichier pour l'exécuter. Utilisez plutôt une carte de référence indirecte des commandes et n'exécutez les commandes qu'à partir de cette carte. Une carte de référence indirecte associe les données non fiables de l'utilisateur à un ensemble de valeurs fiables codées en dur sur le serveur. Veillez à mettre sur liste blanche toutes les zones où les utilisateurs peuvent saisir des données, et n'oubliez pas d'inclure dans cette liste les en-têtes HTTP, les paramètres des formulaires et même les cookies. Cela fermera toute fenêtre qu'un attaquant cherchant à créer une commande d'inclusion de fichier pourrait utiliser.

En prime, une vérification et une validation appropriées du contenu généré par l'utilisateur et l'utilisation de cartes de référence pour exécuter des commandes permettront non seulement d'éliminer la vulnérabilité d'inclusion de fichiers à distance, mais aussi un certain nombre d'autres vulnérabilités, y compris la dangereuse cousine de ce bogue, l'exploit d'inclusion de fichiers locaux et de traversée de chemin d'accès.

Plus d'informations sur l'inclusion de fichiers à distance

Pour en savoir plus, vous pouvez consulter le guide de référence de l'OWASP sur les exploits d'inclusion de fichiers à distance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Voir la ressource
Voir la ressource

À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi elle doit être détectée et corrigée dès que possible.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 18 juillet 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Ceux d'entre vous qui lisent cette série de blogs peuvent remarquer de nombreuses similitudes entre la vulnérabilité d'inclusion de fichiers à distance et la vulnérabilité d'inclusion de fichiers locaux et de traversée de chemin dont il a été question précédemment. Leurs causes profondes sont similaires, tout comme les correctifs recommandés.

À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi il convient de la détecter et d'y remédier dès que possible. Ou mieux encore, les applications web devraient être conçues de manière à éviter qu'elle ne se produise.

Dans cet épisode, vous apprendrez

  • Comment les pirates exploitent la vulnérabilité d'inclusion de fichiers à distance
  • Pourquoi il est dangereux d'autoriser l'inclusion de fichiers à distance
  • Les techniques permettant de résoudre ce problème.

Comment les attaquants exploitent-ils l'inclusion de fichiers à distance ?

La vulnérabilité d'inclusion de fichiers à distance tire parti de la commande ou du mécanisme d'inclusion dynamique de fichiers qui existe dans la plupart des cadres de programmation. Cette capacité est destinée à permettre aux développeurs d'utiliser des fichiers situés sur un serveur secondaire pour exécuter des activités sur le serveur d'application. Il est évident que cela peut s'avérer dangereux entre de mauvaises mains.

Les attaquants exploitent cette capacité en trouvant un site web ou une application qui permet une entrée utilisateur incontrôlée, qui peut provenir d'éléments tels que des en-têtes HTTP ou des zones d'entrée dans des formulaires interactifs. Ils s'en servent comme point de départ pour générer des commandes d'inclusion de fichiers.

Par exemple, si un site utilise la fonction GET pour charger des pages, comme page = request.getParameter("page") ; include page ; un pirate pourrait alors envoyer une requête en utilisant la commande page, mais avec l'URL d'un site qu'il contrôle et le chemin d'accès au fichier qu'il veut exécuter. La requête est alors transmise au serveur et le fichier distant est exécuté sur l'hôte. L'activité est autorisée car elle fait désormais partie de l'application de confiance.

Pourquoi la vulnérabilité d'inclusion de fichier à distance est-elle dangereuse ?

Le niveau de danger posé par l'inclusion de fichiers à distance est extrêmement élevé. Contrairement aux vulnérabilités liées à l'inclusion de fichiers locaux, où les fichiers qu'un attaquant exécute doivent exister sur un hôte et être trouvés par l'attaquant par tâtonnement, l'inclusion de fichiers à distance n'est soumise à aucune restriction de ce type. Il est évident qu'un attaquant connaît l'emplacement des fichiers qu'il veut exploiter puisqu'ils existent probablement sur ses propres machines ou sur des sites qu'il contrôle. Les fichiers peuvent également être choisis par le pirate et n'ont pas besoin d'exister sur la machine cible avant l'exploitation. Le fichier peut même consister en des scripts spécifiquement écrits pour exploiter un hôte distant.

En bref, une fois qu'un attaquant est en mesure de trouver et d'exploiter une vulnérabilité d'inclusion de fichier à distance, rien ne l'empêche de prendre le contrôle total d'une application ou même d'un site entier. Il est certain qu'aucune donnée stockée ne sera à l'abri de leur incursion.

Suppression de la vulnérabilité d'inclusion de fichiers à distance

Ne permettez jamais à l'utilisateur de passer directement à une commande d'inclusion de fichier pour l'exécuter. Utilisez plutôt une carte de référence indirecte des commandes et n'exécutez les commandes qu'à partir de cette carte. Une carte de référence indirecte associe les données non fiables de l'utilisateur à un ensemble de valeurs fiables codées en dur sur le serveur. Veillez à mettre sur liste blanche toutes les zones où les utilisateurs peuvent saisir des données, et n'oubliez pas d'inclure dans cette liste les en-têtes HTTP, les paramètres des formulaires et même les cookies. Cela fermera toute fenêtre qu'un attaquant cherchant à créer une commande d'inclusion de fichier pourrait utiliser.

En prime, une vérification et une validation appropriées du contenu généré par l'utilisateur et l'utilisation de cartes de référence pour exécuter des commandes permettront non seulement d'éliminer la vulnérabilité d'inclusion de fichiers à distance, mais aussi un certain nombre d'autres vulnérabilités, y compris la dangereuse cousine de ce bogue, l'exploit d'inclusion de fichiers locaux et de traversée de chemin d'accès.

Plus d'informations sur l'inclusion de fichiers à distance

Pour en savoir plus, vous pouvez consulter le guide de référence de l'OWASP sur les exploits d'inclusion de fichiers à distance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Ceux d'entre vous qui lisent cette série de blogs peuvent remarquer de nombreuses similitudes entre la vulnérabilité d'inclusion de fichiers à distance et la vulnérabilité d'inclusion de fichiers locaux et de traversée de chemin dont il a été question précédemment. Leurs causes profondes sont similaires, tout comme les correctifs recommandés.

À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi il convient de la détecter et d'y remédier dès que possible. Ou mieux encore, les applications web devraient être conçues de manière à éviter qu'elle ne se produise.

Dans cet épisode, vous apprendrez

  • Comment les pirates exploitent la vulnérabilité d'inclusion de fichiers à distance
  • Pourquoi il est dangereux d'autoriser l'inclusion de fichiers à distance
  • Les techniques permettant de résoudre ce problème.

Comment les attaquants exploitent-ils l'inclusion de fichiers à distance ?

La vulnérabilité d'inclusion de fichiers à distance tire parti de la commande ou du mécanisme d'inclusion dynamique de fichiers qui existe dans la plupart des cadres de programmation. Cette capacité est destinée à permettre aux développeurs d'utiliser des fichiers situés sur un serveur secondaire pour exécuter des activités sur le serveur d'application. Il est évident que cela peut s'avérer dangereux entre de mauvaises mains.

Les attaquants exploitent cette capacité en trouvant un site web ou une application qui permet une entrée utilisateur incontrôlée, qui peut provenir d'éléments tels que des en-têtes HTTP ou des zones d'entrée dans des formulaires interactifs. Ils s'en servent comme point de départ pour générer des commandes d'inclusion de fichiers.

Par exemple, si un site utilise la fonction GET pour charger des pages, comme page = request.getParameter("page") ; include page ; un pirate pourrait alors envoyer une requête en utilisant la commande page, mais avec l'URL d'un site qu'il contrôle et le chemin d'accès au fichier qu'il veut exécuter. La requête est alors transmise au serveur et le fichier distant est exécuté sur l'hôte. L'activité est autorisée car elle fait désormais partie de l'application de confiance.

Pourquoi la vulnérabilité d'inclusion de fichier à distance est-elle dangereuse ?

Le niveau de danger posé par l'inclusion de fichiers à distance est extrêmement élevé. Contrairement aux vulnérabilités liées à l'inclusion de fichiers locaux, où les fichiers qu'un attaquant exécute doivent exister sur un hôte et être trouvés par l'attaquant par tâtonnement, l'inclusion de fichiers à distance n'est soumise à aucune restriction de ce type. Il est évident qu'un attaquant connaît l'emplacement des fichiers qu'il veut exploiter puisqu'ils existent probablement sur ses propres machines ou sur des sites qu'il contrôle. Les fichiers peuvent également être choisis par le pirate et n'ont pas besoin d'exister sur la machine cible avant l'exploitation. Le fichier peut même consister en des scripts spécifiquement écrits pour exploiter un hôte distant.

En bref, une fois qu'un attaquant est en mesure de trouver et d'exploiter une vulnérabilité d'inclusion de fichier à distance, rien ne l'empêche de prendre le contrôle total d'une application ou même d'un site entier. Il est certain qu'aucune donnée stockée ne sera à l'abri de leur incursion.

Suppression de la vulnérabilité d'inclusion de fichiers à distance

Ne permettez jamais à l'utilisateur de passer directement à une commande d'inclusion de fichier pour l'exécuter. Utilisez plutôt une carte de référence indirecte des commandes et n'exécutez les commandes qu'à partir de cette carte. Une carte de référence indirecte associe les données non fiables de l'utilisateur à un ensemble de valeurs fiables codées en dur sur le serveur. Veillez à mettre sur liste blanche toutes les zones où les utilisateurs peuvent saisir des données, et n'oubliez pas d'inclure dans cette liste les en-têtes HTTP, les paramètres des formulaires et même les cookies. Cela fermera toute fenêtre qu'un attaquant cherchant à créer une commande d'inclusion de fichier pourrait utiliser.

En prime, une vérification et une validation appropriées du contenu généré par l'utilisateur et l'utilisation de cartes de référence pour exécuter des commandes permettront non seulement d'éliminer la vulnérabilité d'inclusion de fichiers à distance, mais aussi un certain nombre d'autres vulnérabilités, y compris la dangereuse cousine de ce bogue, l'exploit d'inclusion de fichiers locaux et de traversée de chemin d'accès.

Plus d'informations sur l'inclusion de fichiers à distance

Pour en savoir plus, vous pouvez consulter le guide de référence de l'OWASP sur les exploits d'inclusion de fichiers à distance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Commencez

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 18 juillet 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Ceux d'entre vous qui lisent cette série de blogs peuvent remarquer de nombreuses similitudes entre la vulnérabilité d'inclusion de fichiers à distance et la vulnérabilité d'inclusion de fichiers locaux et de traversée de chemin dont il a été question précédemment. Leurs causes profondes sont similaires, tout comme les correctifs recommandés.

À bien des égards, la vulnérabilité d'inclusion de fichiers à distance est beaucoup plus dangereuse, et aussi plus facile à exploiter, que son équivalent local. C'est pourquoi il convient de la détecter et d'y remédier dès que possible. Ou mieux encore, les applications web devraient être conçues de manière à éviter qu'elle ne se produise.

Dans cet épisode, vous apprendrez

  • Comment les pirates exploitent la vulnérabilité d'inclusion de fichiers à distance
  • Pourquoi il est dangereux d'autoriser l'inclusion de fichiers à distance
  • Les techniques permettant de résoudre ce problème.

Comment les attaquants exploitent-ils l'inclusion de fichiers à distance ?

La vulnérabilité d'inclusion de fichiers à distance tire parti de la commande ou du mécanisme d'inclusion dynamique de fichiers qui existe dans la plupart des cadres de programmation. Cette capacité est destinée à permettre aux développeurs d'utiliser des fichiers situés sur un serveur secondaire pour exécuter des activités sur le serveur d'application. Il est évident que cela peut s'avérer dangereux entre de mauvaises mains.

Les attaquants exploitent cette capacité en trouvant un site web ou une application qui permet une entrée utilisateur incontrôlée, qui peut provenir d'éléments tels que des en-têtes HTTP ou des zones d'entrée dans des formulaires interactifs. Ils s'en servent comme point de départ pour générer des commandes d'inclusion de fichiers.

Par exemple, si un site utilise la fonction GET pour charger des pages, comme page = request.getParameter("page") ; include page ; un pirate pourrait alors envoyer une requête en utilisant la commande page, mais avec l'URL d'un site qu'il contrôle et le chemin d'accès au fichier qu'il veut exécuter. La requête est alors transmise au serveur et le fichier distant est exécuté sur l'hôte. L'activité est autorisée car elle fait désormais partie de l'application de confiance.

Pourquoi la vulnérabilité d'inclusion de fichier à distance est-elle dangereuse ?

Le niveau de danger posé par l'inclusion de fichiers à distance est extrêmement élevé. Contrairement aux vulnérabilités liées à l'inclusion de fichiers locaux, où les fichiers qu'un attaquant exécute doivent exister sur un hôte et être trouvés par l'attaquant par tâtonnement, l'inclusion de fichiers à distance n'est soumise à aucune restriction de ce type. Il est évident qu'un attaquant connaît l'emplacement des fichiers qu'il veut exploiter puisqu'ils existent probablement sur ses propres machines ou sur des sites qu'il contrôle. Les fichiers peuvent également être choisis par le pirate et n'ont pas besoin d'exister sur la machine cible avant l'exploitation. Le fichier peut même consister en des scripts spécifiquement écrits pour exploiter un hôte distant.

En bref, une fois qu'un attaquant est en mesure de trouver et d'exploiter une vulnérabilité d'inclusion de fichier à distance, rien ne l'empêche de prendre le contrôle total d'une application ou même d'un site entier. Il est certain qu'aucune donnée stockée ne sera à l'abri de leur incursion.

Suppression de la vulnérabilité d'inclusion de fichiers à distance

Ne permettez jamais à l'utilisateur de passer directement à une commande d'inclusion de fichier pour l'exécuter. Utilisez plutôt une carte de référence indirecte des commandes et n'exécutez les commandes qu'à partir de cette carte. Une carte de référence indirecte associe les données non fiables de l'utilisateur à un ensemble de valeurs fiables codées en dur sur le serveur. Veillez à mettre sur liste blanche toutes les zones où les utilisateurs peuvent saisir des données, et n'oubliez pas d'inclure dans cette liste les en-têtes HTTP, les paramètres des formulaires et même les cookies. Cela fermera toute fenêtre qu'un attaquant cherchant à créer une commande d'inclusion de fichier pourrait utiliser.

En prime, une vérification et une validation appropriées du contenu généré par l'utilisateur et l'utilisation de cartes de référence pour exécuter des commandes permettront non seulement d'éliminer la vulnérabilité d'inclusion de fichiers à distance, mais aussi un certain nombre d'autres vulnérabilités, y compris la dangereuse cousine de ce bogue, l'exploit d'inclusion de fichiers locaux et de traversée de chemin d'accès.

Plus d'informations sur l'inclusion de fichiers à distance

Pour en savoir plus, vous pouvez consulter le guide de référence de l'OWASP sur les exploits d'inclusion de fichiers à distance. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles