مقالات

Local File Inclusion یا LFI چیست؟

Local File Inclusion یا به اختصار LFT به پروسه Include نمودن فایل در سرور توسط مرورگر وب گفته می شود. این آسیب پذیری زمانی جدی می شود که فایل هایی که Include می گردند، به خوبی بررسی نشوند. به طور مثال اگر متغیری مانند filename$ در url به صورت Include دریافت گردد، این امکان وجود دارد که به وسیله این آسیب پذیری، به جای filename$ عبارت ذیل وارد شود.

../../../../etc/passwd

با توجه به موارد ذکر شده درخواست اصلی به صورت

http://example.com/index.php?file=contactus.php

بوده که می توان با استفاده از آدرس

http://example.com/index.php?file=../../../../etc/passwd

از آن سوء استفاده کرد و به فایل passwd دسترسی یافت.

معمولا با غیر فعال نمودن Directory Browsing از روش نفوذ ذکر شده در بالا جلوگیری می گردد. ولی در صورت نیاز به فعال بودن Directory browsing، می بایست از سایر روش های امنیتی استفاده نمود.

author-avatar

درباره میلاد خوشدل

کارشناسی رشته مهندسی نرم افزار و کارشناسی ارشد رشته ی معماری کامپیوتر 8 سال تجربه کاری در زمینه امنیت و تست نفوذ و در حال حاضر نیز به عنوان محقق امنیتی در یک شرکت معتبر داخلی مشغول به کار هستم.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

10 − دو =