بررسی آسیب پذیری LFD + رفع آن


 

آسیب پذیری LFD یا Local File Download بیشتر در پوسته ها و پلاگین هایی که قابلیت دانلود فایل را به کاربران می دهد وجود دارد و همچنین در فایل هایی که در آن ها از توابعی مانند filename$ و افزونه های File Manager دیده شده است.
اگر برای دانلود فایلی در گوگل جستجو کرده باشید متوجه می شوید که بعضی از سایت ها از صفحه ای برای دانلود کردن فایل به وسیله کاربر استفاده می کنند.

از اونجایی که در بیشتر موارد ورودی ها چک نمی شوند و کاربر می تواند هر فایلی را که بخواهد دانلود کند موجب نفوذ به سایت می شود. وقتی که ورودی ها کنترل نشوند و کاربر اجازه دانلود هر فایلی را داشته باشد می تواند فایل های مهم از جمله کانفیگ وبسایت را دانلود کرده و به صورت Remote به دیتابیس دسترسی پیدا کند و با عوض کردن پسورد مدیر سایت از داخل دیتابیس اقدام به نفوذ و تغییر چهره وبسایت کند.

برای نمونه آدرس زیر را در نظر بگیرید:

در این لینک فایل force-download , کاربران را برای دانلود فایل به مکانی که فایل موردنظر در آنجا قرار دارد ، ارجاع می دهد. ما در اینجا بجای آدرس فایلی که به آن ارجاع داده شده است ، آدرس فایل کانفیگ وبسایت را وارد می کنیم.

 

در آدرس بالا مدیر سایت وردپرسی اقدام به ایجاد یک صفحه برای دانلود فایل های PDF کرده است که به دلیل فیلتر نشدن فرمت ها ، نفوذگر می تواند به راحتی به فایل های امنیتی از جمله فایل کانفیگ دسترسی و امکان دانلود داشته باشد . با استفاده از این آسیب پذیری سایت به راحتی مورد نفوذ قرار گیرد.

آموزش تصویری زیر را برای بررسی بیشتر آماده کردیم که می توانید بصورت کامل با این آسیب پذیری و نحوه رفع آن آشنا شوید.

 

اطلاعات دانلود فایل

 

  • دانلود فایل آموزش
  • قیمت : رایگان
  • زمان : ۷ دقیقه
  • حجم فایل : ۲۳ مگابایت
  • زبان : فارسی
  • رمز : ندارد
  • مدرس : AshKan AttacKer



مطالب پیشنهادی


درباره نویسنده


AshKanAttacKer

از سال 92 شروع به یادگیری هک و امنیت کردم و سال 93 کانال و سایت فول سکیوریتی رو راه اندازی کردم و همون موقع دانشگاه رو رها کردم و تمام تلاشم روی تحقیق و تحلیل روی این مبحث گذاشتم. با آموزش های جدید درصد تسلط بنده روی این مبحث رو متوجه میشید



4 دیدگاه در “بررسی آسیب پذیری LFD + رفع آن

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *