RFI و LFI چیست؟ آموزش آسیب پذیری File Inclusion نوع Local و Remote

0 188

در این پست از آکادمی ترجنس، با دو نوع آسیب پذیری File Inclusion همراه شما هستیم. در ویدیو اول آسیب پذیری File Inclusion نوع محلی یا Local را بررسی می‌کنیم. سپس در ویدیو دوم، نوع از راه دور یا Remote این دسته از آسیب‌پذیری‌ها را بررسی می‌کنیم.

آسیب پذیری LFI چیست؟

در اولین ویدیو از بخش آسیب پذیری File Inclusion، به نوع Local آن می‌پردازیم. هکر می‌تواند بوسیله آسیب پذیری LFI، یک وب اپلیکیشن را فریب دهد. این فریب دادن می‌تواند فاش کردن یک فایل از روی سرور و یا حتی اجرای یک فایل باشد. عموما lFI زمانی بوجود می‌آید که وب اپلیکیشن در ورودی، یک آدرس می‌گیرد. برای مثال، فرض کنید وب اپلیکیشن می‌خواهد محتویات یک فایل txt را به کاربر نمایش دهد. برای اینکار آدرس فایل موردنظر را درون یک متغیر دریافت می‌کند. اگر وب اپلیکیشن ورودی‌های مجاز برای این درخواست را بررسی دقیق نکند، کاربر می‌تواند متغیر مذکور را با مغادیر دلخواه پر کند. در اینصورت ممکن است کاربر به فایل‌های دیگر دسترسی پیدا کند. دلیل نام‌گذاری این آسیب‌پذیری این است که وب اپلیکیشن آدرس یک فایل موجود برروی سرور را به عنوان ورودی دریافت می‌کند. شرایطی مشابه با قطعه کد زیر:

/**
* Get the filename from a GET input
* Example - http://example.com/?file=filename.php
*/
$file = $_GET['file'];

/**
* Unsafely include the file
* Example - filename.php
*/
include('directory/' . $file);

آموزش آسیب پذیری Local File Inclusion یا LFI

آسیب پذیریRFI چیست؟

در ویدیو قبل به بررسی LFI یا همان File Inclusion محلی پرداختیم. در این ویدیو قصد داریم درمورد File Inclusion از راه دور یا همان RFI صحبت کنیم. در این دسته از آسیب پذیری‌ها هکر می‌تواند منجر به فاش شدن اطلاعات و یا حتی اجرای دستورات از راه دور (Remote Code Execution) برروی سرور شود. این دسته از آسیب‌پذیری‌ها عموما زمانی رخ می‌دهد که وب اپلیکیشن آدرس یم فایل را به عنوان ورودی دریافت می‌کند. در صورتی که گرفتن این ورودی بدرستی کنترل نشود می‌تواند منجر به RFI شود. به این معنا که یک URL خارجی می‌تواند درون تابع Include، به عنوان ورودی داده شود.

/**
* Get the filename from a GET input
* Example - http://example.com/?file=index.php
*/
$file = $_GET['file'];

/**
* Unsafely include the file
* Example - index.php
*/
include($file);

آموزش آسیب پذیری Remote File Inclusion یا RFI

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتیوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.