Cyber ​​Security

LFI – Local File Include Nedir?

LFI – Local File Include uzaktan sunucuya yerel dosya çağırmak anlamına gelmektedir. Bu açık çok yaygın olamamakla beraber bazı sitelerde nadirde olsa görülmektedir. LFI açığı Php’de bulunan bir açık türüdür. Bu açığın genel sebebi de değişkenlerin atama hatalarından kaynaklanmaktadır. Açığın tespiti hakkında bir örnek verelim. 

index.php?sayfa=../../../../../../../../../etc/passwd 

Yukarıdaki “../” ifadesi bulunduğu dizinden bir üst dizine çıkarak, sunucunun /etc/passwd içeriğini yani user listesini ekrana yazdırmaktadır. Örnek verecek olursak linux sunucularında tutulan /etc dizini altındaki passwd gibi kritik bir dosyanın içeriğini sitenin linki üzerinde parametrelerle değişiklik yaparak herhangi bir güvenlik önlemi alınmamışsa ekrana yansıtabiliriz. Bu sayede server üzerindeki dosyaları okumuş oluyoruz, bu dosya yapısı serverdaki tüm sitelerin user’larının bulunduğu dosyadır.

Ekran Resmi 2018 05 26 15.35.57

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Back to top button