Siber Güvenlik

LFI – Local File Include Nedir?

LFI – Local File Include uzaktan sunucuya yerel dosya çağırmak anlamına gelmektedir. Bu açık çok yaygın olamamakla beraber bazı sitelerde nadirde olsa görülmektedir. LFI açığı Php’de bulunan bir açık türüdür. Bu açığın genel sebebi de değişkenlerin atama hatalarından kaynaklanmaktadır. Açığın tespiti hakkında bir örnek verelim. 

index.php?sayfa=../../../../../../../../../etc/passwd 

Yukarıdaki “../” ifadesi bulunduğu dizinden bir üst dizine çıkarak, sunucunun /etc/passwd içeriğini yani user listesini ekrana yazdırmaktadır. Örnek verecek olursak linux sunucularında tutulan /etc dizini altındaki passwd gibi kritik bir dosyanın içeriğini sitenin linki üzerinde parametrelerle değişiklik yaparak herhangi bir güvenlik önlemi alınmamışsa ekrana yansıtabiliriz. Bu sayede server üzerindeki dosyaları okumuş oluyoruz, bu dosya yapısı serverdaki tüm sitelerin user’larının bulunduğu dosyadır.

YOUTUBE ABONE

Ekran Resmi 2018 05 26 15.35.57

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu