باگ LFI چیست ؟ و چگونه امن میشود؟

باگ LFI

اموزش و اشنایی با باگ LFI در برنامه های تحت وب به همراه اموزش امن سازی وب سایت در مقابل این اسیب پذیری با ما در ادامه اموزش های هک و امنیت همراه باشید

مقدمه باگ LFI

وب اپلیکیشن ها به دلیل نوشته شدن توسط برنامه نویس ها میتوانند دارای اسیب پذیری های زیادی به دلیل اشتباهات برنامه نویس باشند به همین دلیل باگ های زیادی به وجود می ایند که منجر به نفوذ وب سایت میشود. ما در بخش تست نفوذ وب اپلیکشن باگ های زیادی را تا بحال معرفی کرده ایم اما باگ های دیگری هم وجود دارند که یکی دیگر از ان ها را در این اموزش می اموزید. باگ ها دارای سطح های مختلفی هستند و دسترسی نفوذگر را نوع باگ تایید میکند که باگ LFI یکی از باگ های خطر ناک است که میتواند منجر به دسترسی کامل شود.
 

باگ LFI چیست ؟

LFI مخفف Local File Inclusion است که به نفوذگر اجازه خواندن فایل های درون سرور را میدهد برای مثال با وارد کردن ادرس فایلی مهم در سرور ان را  در سایت مورد نظر با ورودی اسیب پذیر LFI میتوانید مشاهده کنید و از سایت مورد نظر تا حد زیادی دسترسی بگیرید.

توضیح و مثال برای درک بهتر

ورودی سایت زیر را در نظر بگیرید که در ان 1 وارد شده و باگ LFI در ان وجود دارد پس ما میتوانیم از طریق این ورودی فایل های مورد نظر خود را بخوانیم

http://site/page.php?id=1

یکی از مهم ترین فایل های سرور /etc/passwd که اطلاعات کاربران در ان موجود است
و با خواندن ان میتوانیم به اطلاعات مهم سرور دسترسی پیدا کنیم
پس فقط کافیست در ورودی اسیب پذیر ادرس مسیر مورد نظر را وارد کنیم

http://site/page.php?id=/etc/passwd

اما اگر صفحه اسیب پذیر در پوشه های تو در تو بیشتری باشد باید به عثب برگردیم تا به فایل سرور برسیم برای این بازگشت باید از /.. استفاده کنیم

http://site/page.php?id=../etc/passwd

در صورت به نتیجه نرسیدن میتوانید باز هم به عقب بروید و این کار را تکرار کنید تا به فایل اصلی دسترسی پیدا کنید و بتوانید از باگ باگ LFI استفاده کنید

http://site/page.php?id=../…/../etc/passwd

باگ LFI چیست ؟ و چگونه امن میشود؟
 

تامین امنیت وب سایت در مقابل LFI

برای امن سازی باگ LFI باید در هنگام کد نویسی ورودی کا کنترل شوند و کارکتر های خاص و مربوط به ایت اسیب پذیری فیلتر شوند به صورتی که با وارد کردن ان ها در ورودی حذف شوند.این کارکتر ها عبارت است از : / و .یا میتوانید از یک فایروال قدرتمند برای فیلتر این کارکتر ها استفاده کنید اما در صورت بایپس فایرول اسیب پذیری همچنان باقی میماند.اگر این اموزش برای شما مفید بوده است میتوانید
با نظرات خود به بهبود PentestCore برای تولید اموزش های هک و امنیت کمک کنید
موفق و پیروز باشید.

3.3/5 (3 نظر)

نیما حسینی هستم بنیان گذار تیم پن تست کور و مدرس دوره های امنیت شبکه و راه های مقابله با نفوذ ، در 7 سال گذشته متمرکز بر مباحث روز امنیت سایبری بوده ام و بعد از کسب دانش و تجربه های ارزشمند تصمیم بر به اشتراک گذاری نتیجه ان ها با دیگران گرفته ام.

مطالب مرتبط

۲ دیدگاه در “باگ LFI چیست ؟ و چگونه امن میشود؟”

  • sobhan خرداد 16, 1401 پاسخ

    سلام
    فرض کنیم که هاست و کدهای ما از نظر حمله LFI کاملا امن باشد. در هاست های اشتراکی آیا این امکان وجود دارد که در صورت ناامن بودن حساب یوزر دیگری، به حساب ما بدین شکل دسترسی پیدا کرد. اگر این طور هست، چه روش هایی جهت جلوگیری از نفوذ بخصوص از طریق htaccess پیشنهاد میکنید.
    ممنون از شما

    • پن‌تست‌کور تیر 9, 1401 پاسخ

      درود
      بله
      پیشنهاد می کنم به اموزش سیملینک مراجعه کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

قوانین پن تست کور
دوره کالی لینوکس
نماد های اعتماد
نماد های اعتماد