新的研究揭露遠(yuǎn)程文件包含(Remote File Inclusion)的風(fēng)險，這種漏洞可能給web服務(wù)器帶來比SQL注入更嚴(yán)重的威脅。

很多web服務(wù)器和內(nèi)容管理平臺的常見功能是執(zhí)行遠(yuǎn)程文件包含(RFI)的功能，這種功能允許用戶簡單地上傳圖像或者文件。然而，根據(jù)云計算安全公司Incapsula的最新研究顯示，遠(yuǎn)程文件包含可能成為現(xiàn)在網(wǎng)絡(luò)上最普遍的威脅。

Incapsula對六個月時間內(nèi)其服務(wù)接受的大約5億web會話進行了檢查，并發(fā)現(xiàn)，其中25%可能受到基于RFI的攻擊向量的風(fēng)險。相比之下，在同一時期內(nèi)，只有23%的會話容易受到SQL注入攻擊的威脅。在RFI攻擊向量中，看似無害的文件或圖片上傳實際上可能包含某種形式的惡意有效載荷，這有可能導(dǎo)致攻擊者破壞服務(wù)器。

“遠(yuǎn)程文件包含漏洞的數(shù)量非常多，”該公司聯(lián)合創(chuàng)始人Marc Gaffan表示，“這種漏洞可能帶來的損壞要遠(yuǎn)遠(yuǎn)超過SQL注入攻擊，在注入攻擊中，攻擊者只是針對數(shù)據(jù)庫。”在SQL注入攻擊中，惡意的代碼被“注入到”數(shù)據(jù)庫中，這在某些情況下，會使攻擊者能夠提取數(shù)據(jù)。而在遠(yuǎn)程文件包含中，攻擊者可能可以獲得對網(wǎng)站的控制。

此外，Incapula的數(shù)據(jù)還發(fā)現(xiàn)，RFI攻擊者還在攻擊供應(yīng)商已經(jīng)修復(fù)的問題。例如，Incapsula報告發(fā)現(xiàn)，58%的RFI攻擊者在掃描容易受到TimThumb漏洞攻擊的網(wǎng)站，該漏洞首次打補丁是在2011年8月。TimThumb是一個圖片大小調(diào)整工具，通常用于流行的開源wordPress內(nèi)容管理系統(tǒng)。

"Things are slow to get patched," Gaffan said.雖然TimThumb遠(yuǎn)程文件包含漏洞利用了兩年前就修復(fù)的問題，但Incapsula發(fā)現(xiàn)，56%的RFI鏈接保持超過60天以上。

解決辦法

幫助緩解RFI風(fēng)險的一種方法是確保服務(wù)器和應(yīng)用程序已經(jīng)及時修復(fù)了已知漏洞。

安全服務(wù)(例如云計算安全服務(wù))還可以提供另一層潛在的防御層。抵御RFI的戰(zhàn)爭是一個貓捉老鼠的游戲。“編碼人員編寫代碼來‘消毒’輸入內(nèi)容，而攻擊者則編寫新的shell來利用應(yīng)用中的漏洞，”Gaffan表示，“這里并沒有快速解決的辦法，企業(yè)需要保護的范圍很廣泛，這使得企業(yè)幾乎不可能完全抵御RFI問題。”