Що таке недолік LFI?
Місцевий
Атака включення локального файлу використовується, щоб змусити програму відкрити або запустити файли на сервері. Вони дозволяють зловмисникам виконувати довільні команди або, якщо сервер неправильно налаштований і працює з високими привілеями, отримати доступ до конфіденційних даних.
може призвести до
, де зловмисник намагатиметься знайти та отримати доступ до файлів на веб-сервері, щоб отримати більше корисної інформації, такої як файли журналу.
LFI виникає, коли програма включає файл як введений користувачем файл без його належної перевірки. Це дозволяє зловмиснику включати шкідливі файли, маніпулюючи введенням. У цьому прикладі хакер зміг успішно використати вразливість, просто замінивши «ім’я файлу. php» із «../../../../etc/test.
Як ви можете бачити в назві, LFI означає включення локального файлу. Уразливість LFI у веб-додатку може змусити програму завантажувати довільні файли з обмеженого сервера. LFI може призвести до розкриття важливої інформації або навіть до віддаленого виконання коду.
Віддалене включення файлів (RFI) є атака, націлена на вразливості веб-додатків, які динамічно посилаються на зовнішні сценарії. Метою зловмисника є використання функції посилань у програмі для завантаження зловмисного програмного забезпечення (наприклад, бекдорів) із віддаленої URL-адреси, розташованої в іншому домені.
Включення локальних файлів (LFI) Вони дозволити зловмисникам виконувати довільні команди або, якщо сервер неправильно налаштований і працює з високими привілеями, отримати доступ до конфіденційних даних. Ці атаки зазвичай відбуваються, коли програма використовує шлях до файлу як вхідні дані.
Включення локального файлу це техніка атаки, за якої зловмисники обманом змушують веб-програму запустити або відкрити файли на веб-сервері.