Local File Inclusion.- Jpg File Inclusion.

Hace unos días que en uno de mis viajes en tren empecé a revisar papers con mi tablet. Me llamo la atención uno llamado Jpg File Inclusion de Ruben Ventura Piña donde explicaba de una manera muy gráfica y amena este vector de ataque. Jpg Fiel Inclusión no de ja de ser un ataque que se aprovecha de una vulnerabilidad de Local File Inclusion pero, como últimamente ando mucho con el tema de las imágenes y su "tuneo" para hacer el mal me ha hecho especial gracia.

  

Una vulnerabilidad de Local File Inclusión (LFI) es similar a una vulnerabilidad Remote File Inclusion excepto que en lugar de incluir archivos remotos, sólo los archivos locales, es decir solo podremos jugar con los archivos que se puedan incluir del servidor actual . La vulnerabilidad se debe también a la utilización de que en la entrada proporcionada por el usuario no haya la validación adecuada.

De esta manera si una aplicación no tiene la validación adecuada podríamos subir una imagen JPG, la cual, aprovecharíamos para incrustar partes de código arbitrario en Php en ella que, una vez subida el servidor ejecutara ese código arbitrario php que le hemos incrustado. Jpg File Inclusion. 

Para mas información he encontrado el paper en cuestión en SlideShare, así que, os lo dejo por aquí y espero que lo disfrutéis. 

Sed Buenos con esto ;)