Server side include

Was bedeutet Server side include?

SSIs (Server Side Include) sind Anweisungen in Webanwendungen, die zum Zuführen einer HTML-Seite mit dynamischen Inhalten verwendet werden. Sie ähneln CGIs, mit der Ausnahme, dass SSIs verwendet werden, um einige Aktionen auszuführen, bevor die aktuelle Seite geladen wird oder während die Seite visualisiert wird. Zu diesem Zweck analysiert der Webserver SSI, bevor er die Seite an den Benutzer liefert.

Der Angriff auf serverseitige Includes ermöglicht die Nutzung einer Webanwendung, indem Skripts in HTML-Seiten eingefügt oder beliebige Codes aus der Ferne ausgeführt werden. Es kann durch Manipulation von SSI, das in der Anwendung verwendet wird, ausgenutzt werden oder erzwingt seine Verwendung durch Benutzereingabefelder.

Mögliche Lösung

Eine andere Möglichkeit, um herauszufinden, ob die Anwendung anfällig ist, besteht darin, das Vorhandensein von Seiten mit den Erweiterungen .stm, .shtm und .shtml zu überprüfen. Das Fehlen dieser Art von Seiten bedeutet jedoch nicht, dass die Anwendung vor SSI-Angriffen geschützt ist.

In jedem Fall ist der Angriff nur erfolgreich, wenn der Webserver die SSI-Ausführung ohne ordnungsgemäße Überprüfung zulässt. Dies kann zu einem Zugriff und einer Manipulation des Dateisystems und zu Prozessen führen, wenn der Webserver-Prozessbesitzer dies genehmigt.

Der Angreifer kann auf vertrauliche Informationen wie Kennwortdateien zugreifen und Shellbefehle ausführen. Die SSI-Anweisungen werden in Eingabefelder eingefügt und an den Webserver gesendet. Der Webserver analysiert und führt die Anweisungen aus, bevor er die Seite bereitstellt. Das Angriffsergebnis ist dann beim nächsten Laden der Seite für den Browser des Benutzers sichtbar.