外部URLからアプリケーションに http://attacker.com/maliciousshell_php> が侵入し、攻撃者がWebサーバーの権限を使ってこれを読み込みます。
これにより、悪意のあるファイルにローカルでアクセスできるようになるため、ディレクトリトラバーサル(../…./)が必要になります。
アプリケーションは、攻撃者のコードにリンクされた悪意のある添付ファイルを読み込むことができます。
また、許可なく悪意のあるファイルをダウンロードすることも可能になります。
#4 RFI: 外部URLからアプリケーションへ from infosecwriteups.com
security summary外部URLからアプリケーションに http://attacker.com/maliciousshell_php> が侵入し、攻撃者がWebサーバーの権限を使ってこれを読み込みます。
これにより、悪意のあるファイルにローカルでアクセスできるようになるため、ディレクトリトラバーサル(../…./)が必要になります。
アプリケーションは、攻撃者のコードにリンクされた悪意のある添付ファイルを読み込むことができます。
また、許可なく悪意のあるファイルをダウンロードすることも可能になります。
コメント