Server side include

Was bedeutet Server side include?

SSIs (Server Side Include)┬ásind Anweisungen in Webanwendungen, die zum Zuf├╝hren einer HTML-Seite mit dynamischen Inhalten verwendet werden. Sie ├Ąhneln CGIs, mit der Ausnahme, dass SSIs verwendet werden, um einige Aktionen auszuf├╝hren, bevor die aktuelle Seite geladen wird oder w├Ąhrend die Seite visualisiert wird. Zu diesem Zweck analysiert der Webserver SSI, bevor er die Seite an den Benutzer liefert.

Der Angriff auf serverseitige Includes erm├Âglicht die Nutzung einer Webanwendung, indem Skripts in HTML-Seiten eingef├╝gt oder beliebige Codes aus der Ferne ausgef├╝hrt werden. Es kann durch Manipulation von SSI, das in der Anwendung verwendet wird, ausgenutzt werden oder erzwingt seine Verwendung durch Benutzereingabefelder.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

M├Âgliche L├Âsung

Eine andere M├Âglichkeit, um herauszufinden, ob die Anwendung anf├Ąllig ist, besteht darin, das Vorhandensein von Seiten mit den Erweiterungen .stm, .shtm und .shtml zu ├╝berpr├╝fen. Das Fehlen dieser Art von Seiten bedeutet jedoch nicht, dass die Anwendung vor SSI-Angriffen gesch├╝tzt ist.

In jedem Fall ist der Angriff nur erfolgreich, wenn der Webserver die SSI-Ausf├╝hrung ohne ordnungsgem├Ą├če ├ťberpr├╝fung zul├Ąsst. Dies kann zu einem Zugriff und einer Manipulation des Dateisystems und zu Prozessen f├╝hren, wenn der Webserver-Prozessbesitzer dies genehmigt.

Der Angreifer kann auf vertrauliche Informationen wie Kennwortdateien zugreifen und Shellbefehle ausf├╝hren. Die SSI-Anweisungen werden in Eingabefelder eingef├╝gt und an den Webserver gesendet. Der Webserver analysiert und f├╝hrt die Anweisungen aus, bevor er die Seite bereitstellt. Das Angriffsergebnis ist dann beim n├Ąchsten Laden der Seite f├╝r den Browser des Benutzers sichtbar.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte