वेब सर्वर उन फाइलों (वेब पेज, चित्र, वीडियो, फॉर्म आदि) को होस्ट करते हैं जो आपके वेब एप्लिकेशन को बनाते हैं और जब कोई आपकी वेबसाइट पर जाता है तो इन फाइलों को सर्व करता है। कुछ सर्वर अधिक उन्नत होते हैं और यह भी नियंत्रित करते हैं कि वेब विज़िटर की कितनी पहुंच है। वे नियमित आगंतुकों को अन्य उपयोगकर्ताओं के खातों या प्रशासनिक डैशबोर्ड तक पहुँचने से रोक सकते हैं। हालांकि वेब सर्वर जो कुछ भी करते हैं उस पर कुशल होते हैं- और वे इसे अपेक्षाकृत सुरक्षित रूप से करते हैं-हमलावर उन त्रुटियों का फायदा उठा सकते हैं जो मानव त्रुटि या त्रुटिपूर्ण तर्क से उत्पन्न होती हैं कि कैसे एक सर्वर उन फ़ाइलों की सेवा करता है जो इसे होस्ट करता है।
एलएफआई हमला क्या है?
एक स्थानीय फ़ाइल घुसपैठ (एलएफआई) हमला तब होता है जब हमलावर कमजोरियों का फायदा उठाते हैं कि कैसे एक वेब सर्वर अपनी फाइलों तक पहुंच, सेवा, सत्यापन या नियंत्रण करता है। यह भेद्यता PHP-आधारित वेबसाइटों के लिए आम है।
साइबर हमले के कई रूपों के विपरीत, जहां हमलावर किसी एप्लिकेशन को दूषित करने के लिए मैलवेयर पर भरोसा करते हैं, एलएफआई में हमलावर ज्यादातर चतुर चाल और कोड की छोटी पंक्तियों पर भरोसा करते हैं। इसके लिए विरले ही परिष्कृत उपकरणों या जटिल लिपियों की आवश्यकता होती है; हमले आमतौर पर वेब ब्राउज़र पर होते हैं। हमलावरों द्वारा उपयोग की जाने वाली सबसे आम चाल कोड, फ़ाइल पथ या फ़ाइल नामों के साथ URL स्ट्रिंग को संशोधित करना है।
एलएफआई के हमले कैसे होते हैं?
LFI हमले आमतौर पर चार चरणों में होते हैं।
सबसे पहले, हमलावर एक कमजोर वेब एप्लिकेशन चलाने वाली एक PHP वेबसाइट की पहचान करता है, आमतौर पर ब्राउज़र URL में एक मूल कोड चलाकर यह देखने के लिए कि वेब एप्लिकेशन (यानी साइट) कमांड को संभालती है या नहीं। इसे ईस्टर अंडे को अनलॉक करने के लिए अपने गेम कंट्रोलर पर प्रमुख संयोजनों को दबाने के बारे में सोचें- उदाहरण के लिए, सुपर मारियो में सुरंगों में प्रवेश करने के लिए डाउन-कुंजी दबाएं। लेकिन सुपर मारियो में हर सुरंग की जाँच करने की तुलना में LFI हमलों में चलने वाले कमांड हमलावर अधिक सुसंगत हैं।
एक वेब एप्लिकेशन या सर्वर जो अनुचित तरीके से कॉन्फ़िगर किया गया है या इनपुट को मान्य करने में विफल रहता है, वह दुर्भावनापूर्ण कोड निष्पादित करेगा। यहां से, हैकर को कमजोर फाइलों को पढ़ने या सर्वर पर दुर्भावनापूर्ण फाइलों को अपलोड करने के लिए आवश्यक पहुंच और विशेषाधिकार प्राप्त हो सकता है।
अधिकांश LFI हमलों के परिणामस्वरूप हमलावर संवेदनशील जानकारी तक पहुँच जाता है। मैलवेयर अपलोड करने की संभावना शायद ही कभी सफल होती है क्योंकि इस बात की कोई गारंटी नहीं है कि वेब एप्लिकेशन फ़ाइल को उसी सर्वर पर सहेजेगा जहां LFI भेद्यता मौजूद है। ऐसा अक्सर तब होता है जब वेब एप्लिकेशन एक बहु-सर्वर वातावरण में होता है।
इसलिए, यदि LFI भेद्यता छवियों को होस्ट करने वाले सर्वर पर मौजूद है, लेकिन उस सर्वर पर नहीं है जो कर्मचारी को संग्रहीत करता है क्रेडेंशियल्स या उपयोगकर्ता पासवर्ड, हमलावर के पास केवल उस असुरक्षित सर्वर पर छवि फ़ाइलों तक पहुंच होगी। परवाह किए बिना, साइबर घटनाओं की तरह लास्टपास पर हमला दिखाते हैं कि हैकर्स पहुंच के सबसे महत्वहीन स्तर के साथ कहर बरपा सकते हैं।
एलएफआई हमलों को कैसे रोकें I
एलएफआई के हमले काफी आम हैं वेब अनुप्रयोग सुरक्षा परियोजना खोलें (ओडब्ल्यूएएसपी)। स्वाभाविक रूप से, हैकर्स इस हमले का पक्ष लेंगे, जैसे W3Tech रिपोर्ट के अनुसार, 10 में से लगभग आठ वेबसाइट PHP को सर्वर-साइड प्रोग्रामिंग लैंग्वेज के रूप में चलाती हैं—पीड़ितों की बहुतायत, इसलिए बोलने के लिए। वेब सुरक्षा सर्वोत्तम प्रथाओं को अपनाकर LFI हमले को रोकना संभव है।
श्वेतसूची सार्वजनिक सर्वर फ़ाइलें
वेब एप्लिकेशन अक्सर फ़ाइल पथ का उपयोग URL इनपुट के रूप में करते हैं। हैकर्स यूआरएल के उस हिस्से को बदलकर इस फाइलिंग सिस्टम का फायदा उठा सकते हैं जो फ़ाइल पथ के रूप में दोगुना हो जाता है। उदाहरण के लिए, एक हमलावर बदल सकता है https://dummywebsite.com/?module=contact.php को https://dummywebsite.com/?module=/etc/passwd. खराब फ़िल्टरिंग और त्रुटिपूर्ण तर्क वाला एक असुरक्षित सर्वर /etc/passwd पथ में संग्रहीत फ़ाइल की सामग्री प्रदर्शित करेगा।
बेशक, हैकर्स एक सफल हमले की बाधाओं को बढ़ाने के लिए सामान्य फ़ाइल नामों और क्वेरी वर्णों के संयोजनों के भिन्नरूपों का उपयोग करते हैं। लक्ष्य वेब एप्लिकेशन को स्क्रिप्ट चलाने या वेब सर्वर पर फ़ाइलों को प्रदर्शित करने के लिए छल करना है।
आप अपने सर्वर पर सार्वजनिक दस्तावेज़ों की एक श्वेतसूची बनाकर और वेब एप्लिकेशन को हर दूसरे दस्तावेज़ या फ़ाइल पथ के लिए प्रश्नों की अवहेलना करने का निर्देश देकर इस भेद्यता को रोक सकते हैं। इसलिए, यदि कोई हमलावर निजी अनुरोध करने वाले कोड का अनुरोध करने या चलाने के लिए URL में हेरफेर करने की कोशिश करता है, तो उन्हें इसके बजाय एक त्रुटि पृष्ठ मिलेगा।
कमजोरियों के लिए अक्सर परीक्षण करें
आप उपयोग कर सकते हैं वेब स्कैनिंग उपकरण कमजोरियों को खोजने और ठीक करने के लिए जो आपको LFI हमलों के लिए उजागर कर सकती हैं। वेब ऐप स्कैनर स्वचालित उपकरण हैं जो आपके ऐप को एक हमलावर की तरह क्रॉल करते हैं और आपको संभावित कमजोरियों के प्रति सचेत करते हैं। OpenVAS और Wireshark जैसे कई ओपन-सोर्स वेब स्कैनर हैं, लेकिन अधिकांश भेद्यता स्कैनर मालिकाना सॉफ़्टवेयर हैं और उपयोग करने के लिए भुगतान योजना की आवश्यकता होती है।
लेकिन, ज़ाहिर है, आपको केवल LFI हमलों के लिए वेब स्कैनर नहीं मिल रहा है। ये उपकरण व्यापक सुरक्षा कमजोरियों की तलाश भी करते हैं जैसे दूरस्थ फ़ाइल समावेशन, क्रॉस-साइट स्क्रिप्टिंग, SQL इंजेक्शन, और खराब सर्वर कॉन्फ़िगरेशन। तो, वे इसके लायक हैं।
साइट आगंतुक विशेषाधिकार प्रतिबंधित करें
हैकर्स अक्सर LFI हमलों को सफलतापूर्वक अंजाम देते हैं क्योंकि वेब एप्लिकेशन उपयोगकर्ता विशेषाधिकारों को विभाजित करने में विफल होते हैं, और ऐसा करने से आगंतुकों को उन फ़ाइलों तक पहुंचने की अनुमति मिलती है जो केवल व्यवस्थापकों को दिखाई देनी चाहिए। यह उपाय श्वेतसूचीकरण की तरह काम करता है: अपने वेब एप्लिकेशन और सर्वर को कॉन्फ़िगर करें ताकि वे सार्वजनिक फ़ाइलों की सेवा करें और जब कोई विज़िटर वेब ऐप के साथ इंटरैक्ट करता है तो अनधिकृत अनुरोधों की अवहेलना करें। संवेदनशील फ़ाइलों वाले पथों को दर्ज करने के लिए प्रश्नों के लिए यह विशेष रूप से महत्वपूर्ण है।
इसके लिए, आपको फ़ाइल पथों को सीधे संशोधित होने से रोकने की आवश्यकता हो सकती है। वेब ऐप को केवल हार्डकोडेड पथ सूची से दस्तावेज़ प्रस्तुत करना चाहिए। इसके अलावा, बेस64 या बिन2हेक्स फ़ंक्शन के बजाय डायनेमिक पाथ कॉन्सटेनेशन (यूआरएल में अल्फ़ान्यूमेरिक वर्ण होने चाहिए) के साथ अनुरोधों को संसाधित करने के लिए वेब ऐप को कॉन्फ़िगर करें।
यदि आप फ़ाइल नामों को ब्लैकलिस्ट करने के बारे में सोच रहे हैं, तो न करें। हैकर्स के पास आमतौर पर फ़ाइल नामों की एक बढ़ती हुई सूची होती है जिसका उपयोग वे LFI हमले को अंजाम देने के लिए कर सकते हैं। इसके अलावा, यह व्यावहारिक रूप से असंभव है (और समय की भारी बर्बादी) लगातार बढ़ते स्रोतों की सूची को ब्लैकलिस्ट करना हमले का।
एक बहु-सर्वर वातावरण का प्रयोग करें
एक बहु-सर्वर वातावरण आपको महत्वपूर्ण, संवेदनशील दस्तावेजों को सार्वजनिक फ़ाइलों से अलग करने देता है, इस प्रकार उल्लंघन के मामले में आपके जोखिम को कम करता है। समर्पित सर्वर एलएफआई हमलों के लिए कम असुरक्षित हैं, हालांकि वे एक साथ काम करते हैं, उनके कॉन्फ़िगरेशन भिन्न होते हैं।
इस सुरक्षा के अलावा, कई सर्वर विश्वसनीय (डाउनटाइम के कम जोखिम के साथ), तेज और कुशल भी हैं। बेशक, यदि आपकी वेबसाइट छोटी है तो मल्टी-सर्वर वातावरण का उपयोग करना लागत प्रभावी नहीं है। उस स्थिति में, निजी डेटा के लिए डेटाबेस और सार्वजनिक फ़ाइलों के लिए सर्वर के बीच अपने वेब एप्लिकेशन की डेटा तक पहुंच को विभाजित करने पर विचार करें।
क्या आपको एलएफआई हमलों के बारे में चिंतित होना चाहिए?
LFI हमले की संभावना है, खासकर यदि आपकी साइट PHP पर चलती है, लेकिन आप वेब सुरक्षा सर्वोत्तम प्रथाओं के अनुसार वेब एप्लिकेशन और सर्वर को कॉन्फ़िगर करके अपना जोखिम कम कर सकते हैं।
इसके अलावा, आपको कमजोरियों का पता लगाने के लिए नियमित सुरक्षा जांच करने पर विचार करना चाहिए। चीजें हर समय टूटती हैं, खासकर जब साइट आर्किटेक्चर जटिल हो जाता है। स्वयं को सुरक्षित रखने के लिए आपको जिन उपकरणों की आवश्यकता होगी, वे स्वचालित हैं, और कई के लिए विस्तृत सेटअप या उन्नत तकनीकी जानकारी की आवश्यकता नहीं होती है।
