منوهای نصب در پنل مدیریت

آسیب پذیری Local File Inclusion (LFI)

شرح آسیب پذیری:

آسیب پذیری Local File Inclusion (LFI) به مهاجم اجازه می دهد فایل دلخواه خود را از طریق ورودی قرار داده شده در برنامه، به سرور سایت و یا در مرورگر تزریق نماید. این آسیب پذیری به دلیل ضعف در پیاده سازی Input Validation ها صورت می پذیرد. این آسیب پذیری می تواند منجر به اسیب پذیری هایی از جمله Code execution و DoS و همچنین افشاء اطلاعات حساس گردد. تفاوت این اسیب پذیری با RFI در این است که در این آسیب پذیری تنها اجازه مشاهده و Inject فایل های به صورت Local بر روی سرور وجود دارد. فایل های خارج از سرور را نمی توان در این آسیب پذیری به سرور تزریق نمود.

به طور مثال مهاجم می تواند این آسیب پذیری را با لینکی همانند لینک ذیل Exploit نماید. همانطور که مشاهده می کنید، فایل مربوطه بعد از پارامتر file به URL اضافه شده است.

http://vulnerable_host/preview.php?file=example.html

چگونه این آسیب پذیری را رفع کنیم ؟

1) کنترل ورودی کاربر در درخواست های POST/GET
2) بررسی ورودی های پارامتر های موجود در Header درخواست ها
3) کنترل پارامترهای موجود در URL و همچنین ورودی های کوکی

0 پاسخ به "آسیب پذیری Local File Inclusion (LFI)"

ارسال یک پیام

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تماس با ما

  • آدرس: تهران، میدان فردوسی، خیابان ایرانشهر جنوبی، ساختمان 44
  • شماره تماس: 021-77036427
  • آدرس ایمیل: info@regux.com
  • ساعات کاری:
  • – شنبه تا چهارشنبه: 8:30 الی 16:00
  • – پنجشنبه: 9:00 الی 12:00
  • – جمعه: تعطیل

دسته ها

ریجاکس یک شرکت معتبر در زمینه ارائه خدمات امنیتی نظیر تست نفوذ، امن سازی، هاردنینگ و امنیت وب سایت می باشد که کار خود را از سال 1392 شروع کرده است. هم اکنون علاوه بر فعالیت های گذشته، ریجاکس اقداماتی را در ارتباط با آموزش امنیت، جهت ارتقاء هر چه بیشتر سطح امنیت سرور های ارائه دهنده خدمات وب، دیتابیس، ایمیل، و فایل انجام داده است.

تمامی حقوق سایت متعلق به ریجاکس بوده و نزد آن محفوظ می باشد.