LFI – Local File Include Nedir?

LFI – Local File Include uzaktan sunucuya yerel dosya çağırmak anlamına gelmektedir. Bu açık çok yaygın olamamakla beraber bazı sitelerde nadirde olsa görülmektedir. LFI açığı Php’de bulunan bir açık türüdür. Bu açığın genel sebebi de değişkenlerin atama hatalarından kaynaklanmaktadır. Açığın tespiti hakkında bir örnek verelim. 

index.php?sayfa=../../../../../../../../../etc/passwd 

Yukarıdaki “../” ifadesi bulunduğu dizinden bir üst dizine çıkarak, sunucunun /etc/passwd içeriğini yani user listesini ekrana yazdırmaktadır. Örnek verecek olursak linux sunucularında tutulan /etc dizini altındaki passwd gibi kritik bir dosyanın içeriğini sitenin linki üzerinde parametrelerle değişiklik yaparak herhangi bir güvenlik önlemi alınmamışsa ekrana yansıtabiliriz. Bu sayede server üzerindeki dosyaları okumuş oluyoruz, bu dosya yapısı serverdaki tüm sitelerin user’larının bulunduğu dosyadır.

Zeynep Küçük

Merhaba Ben Zeynep, Blogumda çalışma hayatımda kullandığım ve öğrendiğim konular hakkında yazılarımı paylaşıyorum. Teknoloji ile ilgili yazılar okumayı ve yazmayı çok seviyorum. Sizlerle iletişim kurmaktan memnun olurum! Herhangi bir sorunuz için benimle her zaman e-posta yoluyla iletişime geçebileceğinizi unutmayın. Beni sosyal medyadan takip edebilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.