Local File Inclusion یا LFI چیست؟


Local File Inclusion یا به اختصار LFT به پروسه Include نمودن فایل در سرور توسط مرورگر وب گفته می شود. این آسیب پذیری زمانی جدی می شود که فایل هایی که Include می گردند، به خوبی بررسی نشوند. به طور مثال اگر متغیری مانند filename$ در url به صورت Include دریافت گردد، این امکان وجود دارد که به وسیله این آسیب پذیری، به جای filename$ عبارت ذیل وارد شود.

../../../../etc/passwd

با توجه به موارد ذکر شده درخواست اصلی به صورت

http://example.com/index.php?file=contactus.php

بوده که می توان با استفاده از آدرس

http://example.com/index.php?file=../../../../etc/passwd

از آن سوء استفاده کرد و به فایل passwd دسترسی یافت.

معمولا با غیر فعال نمودن Directory Browsing از روش نفوذ ذکر شده در بالا جلوگیری می گردد. ولی در صورت نیاز به فعال بودن Directory browsing، می بایست از سایر روش های امنیتی استفاده نمود.

  • برچسب ها:
  • LFI
میلاد خوشدل

در حوزه‌ی امنیت وب و شبکه فعالیت می کند، عاشق پارکور است و مدیریت دیتاسنتر، امن سازی شبکه های مخابراتی و کابلی و برنامه نویسی وب و موبایل از تجارب کاری او می باشد. او در حال حاضر بنیانگذار ریجاکس است.

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هفده − یازده =


تگ های html مجاز به استفاده می باشند: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

ارسال یک پیام