Local File Inclusion (LFI)
Was ist Local File Inclusion (LFI)?
Local File Inclusion (LFI)Schwachstelle, die einen Angreifer lokale Dateien per ungefilterter Eingabe wählen lässt, sodass der Server sie einbindet, ausführt oder anzeigt.
Local File Inclusion (LFI) entsteht, wenn eine Webanwendung einen vom Benutzer gelieferten Dateipfad ohne Validierung einbindet, typisch in Skriptsprachen wie PHP, JSP oder klassischem ASP. Der Angreifer kann Quellcode, Konfigurationsdateien oder Logs lesen und durch das Einbinden von Dateien mit angreiferkontrolliertem Inhalt (etwa Log Poisoning, /proc-Einträge, Session-Dateien, hochgeladene Bilder mit eingebettetem Code) zur Remote Code Execution eskalieren. LFI überschneidet sich mit Directory Traversal, zielt aber konkret auf include- oder require-Funktionen der Laufzeit. Schutzmaßnahmen sind Allowlists für Template-Namen, sicheres Routing statt dynamischer Includes, Pfadvalidierung nach Kanonisierung und das Deaktivieren der Einbindung entfernter URLs.
● Beispiele
- 01
Ein Endpunkt mit page=../../../var/log/apache2/access.log führt vom Angreifer kontrollierte User-Agent-Strings als PHP aus.
- 02
Ein Admin-Panel mit ?lang=es wird verwundbar, wenn ?lang=../../etc/passwd Systembenutzer preisgibt.
● Häufige Fragen
Was ist Local File Inclusion (LFI)?
Schwachstelle, die einen Angreifer lokale Dateien per ungefilterter Eingabe wählen lässt, sodass der Server sie einbindet, ausführt oder anzeigt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Local File Inclusion (LFI)?
Schwachstelle, die einen Angreifer lokale Dateien per ungefilterter Eingabe wählen lässt, sodass der Server sie einbindet, ausführt oder anzeigt.
Wie schützt man sich gegen Local File Inclusion (LFI)?
Schutzmaßnahmen gegen Local File Inclusion (LFI) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Local File Inclusion (LFI)?
Übliche alternative Bezeichnungen: LFI.