Vulnerabilidad de file inclusión dvwa

Diana marcela arboleda Orozco

Grupo: 38110

Fecha: 20/mayo/2011

Profesor:

Fernando Quintero

Servicio Nacional De Aprendizaje Sena

Administración De Redes

Medellín

2011
Vulnerabilidad de file inclusión dvwa

La finalidad de este ataque es ordenar a la aplicación web acceder a un

archivo al que no debería poder hacerlo o no debería ser accesible.
Path traversal también es conocido como el../ ataque punto barra,
escalado de directorios y back tracking.
Seleccionamos la opción file inclusión

Luego en la url colocamos el archivo que queremos ver de la maquina

vulnerable en este caso /ect/passwd e cual podemos listar los usuarios del
sistema
Como pueden ver se ven los usuarios.
SOLUCION

Como contramedidas podemos realizar lo siguiente:

Cuando se realiza una petición URI por un fichero/directorio, se debe

construir el path completo del fichero/directorio y normalizar todos los
caracteres (ej, 20% convertido a espacios).

Asegurarse de que los primeros caracteres de un directorio correcto es

exactamente el mismo que el del documento raíz

Cambiamos el nivel de seguridad que estaba en low

Por el nivel de seguridad high

Como pueden ver ya nos aparece en error