Um servidor Linux (Ubuntu) publicou uma página web. Durante a verificação de vulnerabilidades nessa página foi encontrada a falha conhecida como Local File Inclusion (LFI). Uma das evidências dessa falha foi constatada pelo analista de segurança quando ele manipulou a entrada da variável “page” demandada pela URL da página. O acesso idôneo deve ser realizado por meio da URL apresentada abaixo, na qual o arquivo “aplicacao.php” é passado como parâmetro para a vaiável “page”.
https://192.168.0.1/index.php?page=aplicacao.php
A tabela a seguir, apresenta o resultado da manipulação da vaiável “page”, realizada pelo analista de segurança desta empresa, com arquivos inexistentes no servidor.
|
Nr |
Manipulação |
Mensagem retornada pelo servidor |
|
1 |
teste.php |
Warning: Include (/var/www/html/site/teste.php): failed to open |
|
2 |
1 |
Warning: Include (/var/www/html/site/1): failedto open |
|
3 |
/../portal.php |
Warning: Include (/var/www/html/portal.php): failed to open |
Assinale a opção que apresenta o valor que esse analista deve passar como parâmetro para a variável “page”, explorando a vulnerabilidade de LFI encontrada, para obter acesso ao conteúdo do arquivo “/etc/hostname” desse servidor de páginas.
