LFI (Local File Inclusion) : Yerelden dosya ekleyerek kod çalıştırmaktır.
Bir LFI örneği verelim;
index.php dosyası:
<?php
include($_GET[‘sayfa’])
?>
index.php?sayfa=hakkimizda.php
index.php?sayfa=iletisim.php
Site url sinin sonuna index.php?sayfa=../../../../../../../../../etc/passwd getirerek sitenin zayıflığını bulmuş ve oluşturmuş oluruz.
../ bunun ne anlama geldiğini merak etmişsinizdir :) Bir üst dizine çıkmamızı sağlar ve sunucunun etc/passwd user listesini ekrana yazdırır.
Lfi tespit etmek için linuxte "/etc/passwd", windowsta "c:\boot.ini" dosyasını include etmeye çalışabilirsiniz. “/etc/passwd” dosyası linux kullanıcı isimlerini ve dizin yollarını verecektir. Şuna benzer bi görünümle karşılaşılır:
0 yorum:
Yorum Gönder