新的研究揭露远程文件包含(Remote File Inclusion)的风险,这种漏洞可能给web服务器带来比SQL注入更严重的威胁。
很多web服务器和内容管理平台的常见功能是执行远程文件包含(RFI)的功能,这种功能允许用户简单地上传图像或者文件。然而,根据云计算安全公司Incapsula的最新研究显示,远程文件包含可能成为现在网络上最普遍的威胁。
Incapsula对六个月时间内其服务接受的大约5亿web会话进行了检查,并发现,其中25%可能受到基于RFI的攻击向量的风险。相比之下,在同一时期内,只有23%的会话容易受到SQL注入攻击的威胁。在RFI攻击向量中,看似无害的文件或图片上传实际上可能包含某种形式的恶意有效载荷,这有可能导致攻击者破坏服务器。
“远程文件包含漏洞的数量非常多,”该公司联合创始人Marc Gaffan表示,“这种漏洞可能带来的损坏要远远超过SQL注入攻击,在注入攻击中,攻击者只是针对数据库。”在SQL注入攻击中,恶意的代码被“注入到”数据库中,这在某些情况下,会使攻击者能够提取数据。而在远程文件包含中,攻击者可能可以获得对网站的控制。
此外,Incapula的数据还发现,RFI攻击者还在攻击供应商已经修复的问题。例如,Incapsula报告发现,58%的RFI攻击者在扫描容易受到TimThumb漏洞攻击的网站,该漏洞首次打补丁是在2011年8月。TimThumb是一个图片大小调整工具,通常用于流行的开源wordPress内容管理系统。
"Things are slow to get patched," Gaffan said.虽然TimThumb远程文件包含漏洞利用了两年前就修复的问题,但Incapsula发现,56%的RFI链接保持超过60天以上。
解决办法
帮助缓解RFI风险的一种方法是确保服务器和应用程序已经及时修复了已知漏洞。
安全服务(例如云计算安全服务)还可以提供另一层潜在的防御层。抵御RFI的战争是一个猫捉老鼠的游戏。“编码人员编写代码来‘消毒’输入内容,而攻击者则编写新的shell来利用应用中的漏洞,”Gaffan表示,“这里并没有快速解决的办法,企业需要保护的范围很广泛,这使得企业几乎不可能完全抵御RFI问题。”