Podczas przeglądania stron firm antywirusowych, zainteresował mnie szczególnie przypadek strony firmy Arcabit, gdzie zupełnie przypadkowo odkryłem błąd typu LFI (Local File Inclusion). Ta luka pozwala na wczytanie dowolnego pliku z serwera, znając jego miejsce w strukturze plików. Może służyć również do zdalnego kodu poprzez "php://input" .

Standardowo, zgłosiłem go pisząc e-mail na adres główny - niestety zero reakcji z ich strony przez tydzień. Dlatego chciałbym pokazać iż luka naprawdę istnieje:

Local File Inclusion i wczytany plik /etc/passwd

Dziwi mnie podejście tak poważnej firmy z branży bezpieczeństwa na informacje o takim błędzie, no ale przecież każdy jest tylko człowiekiem. Na przyszłość lepiej jednak sprawdzać kod i skrypty w lepszy, dostępniejszy sposób i używać polecenia "chmod" oraz "chown".

AUTOR:

Adrian Ścibor

Podziel się