Hva er en RFI fil?
Hacking er ikke bare om cracking passord eller finne bakdører inn i systemer. Smarte hackere finne måter å bruke et program egne funksjoner mot den. Et slikt eksempel er en RFI angrep, der en hacker bruker et nett eget navigasjonssystem for å importere en RFI-fil som inneholder ondsinnet kode i sin server.
RFI-angrep
RFI-angrep oppstå når en hacker manipulerer URL et nettsted prøver å få tilgang, for å gjøre det importere hacker-kode i stedet for filer på serveren som webdesigner ment til. Disse angrepene er farlig fordi når de hacker triks websiden til å ringe opp sine data, vil koden kjøres på serveren med alle rettighetene på hoved nettsiden.
filinnholdet
Filen som en hacker triks et nettsted til importe ligger på en ekstern server. Innholdet og formatet på filen variere avhengig av formålet med angrepet, men slike filer er vanligvis tekstfiler. På denne måten vil serveren lese i rå kode for utførelse. Hackere vil noen ganger bruke en annen filtype enn ".txt" - som ".jpg" eller ".gif" - for å prøve og lure servermekanismer som beskytter mot RFI-angrep.
sårbare Websites
RFI-angrep utnytte nettsteder som lar besøkende til å direkte endre variabler i systemet program gjennom URL bar; for eksempel i PHP, da et content management system bruker funksjonen "GET" for å sette hvilket innhold en side skal vises. Ved å klikke linker på nettsiden vil føre til at nettleseren for å vise PHP variabler, likhetstegnet, og verdien som variabelen blir satt til. Ved å spesifisere verdien etter likhetstegnet, kan en hacker sette denne variabelen selv og gjøre websiden tilgang hans RFI-fil.
finne Targets
Mens det er lett for en hacker å prøve å tvinge et nettsted for å laste en RFI-fil, er det også en enkel sak å beskytte mot dette. En web programmerer kan forhindre det ved å legge til en funksjon til sin content management system som sjekker for å sikre at hver fil som gikk inn gjennom den variable faktisk eksisterer på serveren. Hvis det ikke finnes, så det virker ikke laste filen og bevarer serverens integritet.