LFI – Local File Include Nedir?
LFI – Local File Include uzaktan sunucuya yerel dosya çağırmak anlamına gelmektedir. Bu açık çok yaygın olamamakla beraber bazı sitelerde nadirde olsa görülmektedir. LFI açığı Php’de bulunan bir açık türüdür. Bu açığın genel sebebi de değişkenlerin atama hatalarından kaynaklanmaktadır. Açığın tespiti hakkında bir örnek verelim.
index.php?sayfa=../../../../../../../../../etc/passwd
Yukarıdaki “../” ifadesi bulunduğu dizinden bir üst dizine çıkarak, sunucunun /etc/passwd içeriğini yani user listesini ekrana yazdırmaktadır. Örnek verecek olursak linux sunucularında tutulan /etc dizini altındaki passwd gibi kritik bir dosyanın içeriğini sitenin linki üzerinde parametrelerle değişiklik yaparak herhangi bir güvenlik önlemi alınmamışsa ekrana yansıtabiliriz. Bu sayede server üzerindeki dosyaları okumuş oluyoruz, bu dosya yapısı serverdaki tüm sitelerin user’larının bulunduğu dosyadır.