Wie nennt man diese Attacke?

[Deleted member 11691]

Hallo,

ich wollte mal folgendes wissen:

Ich schreibe Script, welches mit fsockopen eine andere URL öffnet und sich diese Daten holt.
Diese URL kann ich per GET-Abfrage ändern: ?url=...
Dieses Script heißt test.php und liegt auf der Domain test.tld.

Ein Hacker versucht jetzt dieses Script in sich selber aufzurufen, also so:

http://test.tld/test.php?url=http://test.tld/test.php%3Furl=http://test.tld/test.php%253Furl=http://test.tld/test.php%25253Furl=http://test.tld/test.php%2525253Furl=

... Den Rest möchte ich euch ersparen

Wie nennt man diese Attacke dann? Wäre schön, das zu wissen

Liebe Grüße,
PCFreund

 

[chrismaden]

Das wäre doch eine LFI (Local file inclusion)

@gwendragon
ach stimmt xD

 

[GwenDragon]

Da der Zugriff über ein URL stattfindet ist das wohl eine Remote File Inclusion-Attacke.
Ein Local File Inclusion-Attacke würde einen Dateipfad beinhalten.

Oder

Schau mal schön beschrieben:
http://www.web-tuts.de/advanced-local-und-remote-file-inclusion.html
http://der-webwart.de/blog/2011/06/10/remote-file-inclusion-local-file-inclusion-warum-ich/

 

[PapaBaer]

Wobei hier ja rekursiv immer wieder das gleiche File aufgerufen wird, also kein neuer Skript-Kontext für einen Angriff zum Zuge kommt. Ich würde da mal vermuten, dass da jemand die Ressourcen des Servers, hauptsächlich den RAM, an die Wand fahren will. Das wäre dann ein DoS.

Dein Script ist in der Form übrigens eine ziemliche Sicherheitskatastrophe. Gerade, weil Remote Code Injection möglich ist und man so jeden beliebigen Code auf deinem Server ausführen kann.

 

[GwenDragon]

Ich würde sagen, dass das Ganze durch seltsame Redirectregeln oder einen kaputten Bot zustande kommt, bei dem %3F zu %253F kodiert wird.

Ich nenne diese Attacke eher: Dumb Script Kiddie's Redirect Attac.

Ansonsten obliegt es der Programmierung des PHP-Programms auf gültige Inhalte zu prüfen und sich nicht darauf zu verlassen, was von Außen kommt.
Traue niemals CGI-Parametern.

 

[Deleted member 11691]

PapaBaer: 1. Ja schon, es gibt aber doch mehrere Arten von DoS. Da gibts zum Beispiel Smurf-Attacking, SYN-Flooding, etc. 2. Es ist kein Script, das ich gecoded habe. Mir ist es nur so gerade eingefallen, wie man so eine Attacke dann nennen würde, deswegen ja dieses "Szenario".

GwenDragon: Diese %3F und %253F Zeichen sind eigentlich "?", welche am Server decodiert werden. Also aus %3F wird dann "?" und aus %25 wird ein %, also wird aus %253F ein %3F. Das ist so gedacht, sonst würde die URL http://test.tld/test.php?url=http:/...ld/test.php?url=http://test.tld/test.php?url=... Was jedoch invalide wäre, da dann nur die letzte GET-Variable genommen wird, oder?

 

[GwenDragon]

Mir ist klar, dass das URL-encoded ist, weil URL in CGI-Parameter escaped gehören, sonst werden die falsch geparsed.

Eine Umkodierung passiert allerdings auch, wenn bei fehlkonfigurierten ModRewrite-Rules auf dem Apache Redirects stattfinden, das meinte ich.