Um servidor Linux (Ubuntu) publicou uma página web. Durante a verificação de vulnerabilidades nessa página foi encontrada a falha conhecida como Local File Inclusion (LFI). Uma das evidências dessa falha foi constatada pelo analista de segurança quando ele manipulou a entrada da variável “page” demandada pela URL da página. O acesso idôneo deve ser realizado por meio da URL apresentada abaixo, na qual o arquivo “aplicacao.php” é passado como parâmetro para a vaiável “page”.
https://192.168.0.1/index.php?page=aplicacao.php
A tabela a seguir, apresenta o resultado da manipulação da vaiável “page”, realizada pelo analista de segurança desta empresa, com arquivos inexistentes no servidor.
Nr | Manipulação | Mensagem retornada pelo servidor |
1 | teste.php | Warning: Include (/var/www/html/site/teste.php): failed to open |
2 | 1 | Warning: Include (/var/www/html/site/1): failedto open |
3 | /../portal.php | Warning: Include (/var/www/html/portal.php): failed to open |
Assinale a opção que apresenta o valor que esse analista deve passar como parâmetro para a variável “page”, explorando a vulnerabilidade de LFI encontrada, para obter acesso ao conteúdo do arquivo “/etc/hostname” desse servidor de páginas.
/etc/hostname
/hostname
/../etc/hostname
/../../etc/hostname
/../../../../etc/hostname