Local File Inclusion یا LFI چیست؟

Local File Inclusion یا به اختصار LFT به پروسه Include نمودن فایل در سرور توسط مرورگر وب گفته می شود. این آسیب پذیری زمانی جدی می شود که فایل هایی که Include می گردند، به خوبی بررسی نشوند. به طور مثال اگر متغیری مانند filename$ در url به صورت Include دریافت گردد، این امکان وجود دارد که به وسیله این آسیب پذیری، به جای filename$ عبارت ذیل وارد شود.

../../../../etc/passwd

با توجه به موارد ذکر شده درخواست اصلی به صورت

http://example.com/index.php?file=contactus.php

بوده که می توان با استفاده از آدرس

http://example.com/index.php?file=../../../../etc/passwd

از آن سوء استفاده کرد و به فایل passwd دسترسی یافت.

معمولا با غیر فعال نمودن Directory Browsing از روش نفوذ ذکر شده در بالا جلوگیری می گردد. ولی در صورت نیاز به فعال بودن Directory browsing، می بایست از سایر روش های امنیتی استفاده نمود.


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 + دو =