新的研究揭露遠(yuǎn)程文件包含(Remote File Inclusion)的風(fēng)險(xiǎn)，這種漏洞可能給web服務(wù)器帶來比SQL注入更嚴(yán)重的威脅。

很多web服務(wù)器和內(nèi)容管理平臺(tái)的常見功能是執(zhí)行遠(yuǎn)程文件包含(RFI)的功能，這種功能允許用戶簡(jiǎn)單地上傳圖像或者文件。然而，根據(jù)云計(jì)算安全公司Incapsula的最新研究顯示，遠(yuǎn)程文件包含可能成為現(xiàn)在網(wǎng)絡(luò)上最普遍的威脅。

Incapsula對(duì)六個(gè)月時(shí)間內(nèi)其服務(wù)接受的大約5億web會(huì)話進(jìn)行了檢查，并發(fā)現(xiàn)，其中25%可能受到基于RFI的攻擊向量的風(fēng)險(xiǎn)。相比之下，在同一時(shí)期內(nèi)，只有23%的會(huì)話容易受到SQL注入攻擊的威脅。在RFI攻擊向量中，看似無害的文件或圖片上傳實(shí)際上可能包含某種形式的惡意有效載荷，這有可能導(dǎo)致攻擊者破壞服務(wù)器。

“遠(yuǎn)程文件包含漏洞的數(shù)量非常多，”該公司聯(lián)合創(chuàng)始人Marc Gaffan表示，“這種漏洞可能帶來的損壞要遠(yuǎn)遠(yuǎn)超過SQL注入攻擊，在注入攻擊中，攻擊者只是針對(duì)數(shù)據(jù)庫(kù)。”在SQL注入攻擊中，惡意的代碼被“注入到”數(shù)據(jù)庫(kù)中，這在某些情況下，會(huì)使攻擊者能夠提取數(shù)據(jù)。而在遠(yuǎn)程文件包含中，攻擊者可能可以獲得對(duì)網(wǎng)站的控制。

此外，Incapula的數(shù)據(jù)還發(fā)現(xiàn)，RFI攻擊者還在攻擊供應(yīng)商已經(jīng)修復(fù)的問題。例如，Incapsula報(bào)告發(fā)現(xiàn)，58%的RFI攻擊者在掃描容易受到TimThumb漏洞攻擊的網(wǎng)站，該漏洞首次打補(bǔ)丁是在2011年8月。TimThumb是一個(gè)圖片大小調(diào)整工具，通常用于流行的開源wordPress內(nèi)容管理系統(tǒng)。

"Things are slow to get patched," Gaffan said.雖然TimThumb遠(yuǎn)程文件包含漏洞利用了兩年前就修復(fù)的問題，但I(xiàn)ncapsula發(fā)現(xiàn)，56%的RFI鏈接保持超過60天以上。

解決辦法

幫助緩解RFI風(fēng)險(xiǎn)的一種方法是確保服務(wù)器和應(yīng)用程序已經(jīng)及時(shí)修復(fù)了已知漏洞。

安全服務(wù)(例如云計(jì)算安全服務(wù))還可以提供另一層潛在的防御層。抵御RFI的戰(zhàn)爭(zhēng)是一個(gè)貓捉老鼠的游戲。“編碼人員編寫代碼來‘消毒’輸入內(nèi)容，而攻擊者則編寫新的shell來利用應(yīng)用中的漏洞，”Gaffan表示，“這里并沒有快速解決的辦法，企業(yè)需要保護(hù)的范圍很廣泛，這使得企業(yè)幾乎不可能完全抵御RFI問題。”