Inclusion de fichier local (LFI)
Qu'est-ce que Inclusion de fichier local (LFI) ?
Inclusion de fichier local (LFI)Vulnérabilité qui permet à un attaquant de faire inclure et exécuter ou afficher par le serveur des fichiers locaux choisis via une entrée non assainie.
L'inclusion de fichier local (LFI) apparaît lorsqu'une application web inclut un chemin fourni par l'utilisateur sans validation, typiquement dans des langages comme PHP, JSP ou ASP classique. L'attaquant peut lire le code source, les fichiers de configuration ou les journaux, et passer à une exécution distante en incluant des fichiers contenant du contenu qu'il contrôle (par exemple par log poisoning, via /proc, des fichiers de session ou des images téléversées contenant du code). La LFI recoupe la traversée de répertoires mais vise spécifiquement les fonctions include ou require du runtime. Les défenses sont des listes blanches de noms de templates, un routage sûr plutôt que des includes dynamiques, la validation des chemins après canonicalisation et la désactivation de l'inclusion d'URL distantes.
● Exemples
- 01
Un endpoint avec page=../../../var/log/apache2/access.log qui exécute des chaînes User-Agent forgées comme du PHP.
- 02
Un panneau d'administration utilisant ?lang=es devient vulnérable lorsque ?lang=../../etc/passwd révèle les utilisateurs du système.
● Questions fréquentes
Qu'est-ce que Inclusion de fichier local (LFI) ?
Vulnérabilité qui permet à un attaquant de faire inclure et exécuter ou afficher par le serveur des fichiers locaux choisis via une entrée non assainie. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Inclusion de fichier local (LFI) ?
Vulnérabilité qui permet à un attaquant de faire inclure et exécuter ou afficher par le serveur des fichiers locaux choisis via une entrée non assainie.
Comment se défendre contre Inclusion de fichier local (LFI) ?
Les défenses contre Inclusion de fichier local (LFI) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Inclusion de fichier local (LFI) ?
Noms alternatifs courants : LFI.