1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Lfi - уязвимость ( local file include ). включение локального файла.

Тема в разделе "Web-хакинг", создана пользователем admin, 23 фев 2016.

  1. admin
    admin Команда форума Админ
    Симпатии:
    27
    LFI - Local file include - это популярный и часто эксплуатируемый способ взлома сайтов и веб приложений. Это возможность использования локальных системных файлов сервера. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию.

    LFI - позволяет злоумышленнику выполнить или получить данные с локального файла.

    LFI возникает в случае, когда проверка входящих данных и параметров в коде сайта отсутствует или недостаточна.

    Возможность эксплуатации LFI (Remote file include) возникает из за грубейших ошибок разработки сайта, отсутствия фильтрации передающих параметров, а также некорректной настройки сервера.

    Пример уязвимого LFI (Local file include) PHP скрипта:
    PHP:
    <?
    $filename = (string)@$_GET['filename'];
    $filename .= '.txt';
    if (
    file_exists($filename)) {
    echo 
    htmlspecialchars(file_get_contents($filename)); }
    else {
    echo 
    "Error!"; }
    ?>
    Результат:
    Атакующий получает конфиденциальные данные с системных и конфигурационных файлов
     
    23 фев 2016

Поделиться этой страницей

Загрузка...