Inclusão Local de Ficheiros (LFI)
O que é Inclusão Local de Ficheiros (LFI)?
Inclusão Local de Ficheiros (LFI)Vulnerabilidade que permite ao atacante fazer o servidor incluir e executar ou apresentar ficheiros locais escolhidos por entradas não sanitizadas.
A inclusão local de ficheiros (LFI) surge quando uma aplicação web inclui um caminho fornecido pelo utilizador sem validação, tipicamente em linguagens como PHP, JSP ou ASP clássico. O atacante pode ler código-fonte, ficheiros de configuração ou logs e escalar para execução remota de código incluindo ficheiros com conteúdo controlado (por exemplo, envenenamento de logs, entradas de /proc, ficheiros de sessão ou imagens carregadas com código embebido). A LFI sobrepõe-se à travessia de diretórios mas visa especificamente as funções include ou require do runtime. As defesas incluem listas brancas de nomes de templates, encaminhamento seguro em vez de includes dinâmicos, validação de caminhos após canonicalização e desativar a inclusão de URLs remotos.
● Exemplos
- 01
Um endpoint com page=../../../var/log/apache2/access.log que executa cadeias User-Agent forjadas como PHP.
- 02
Um painel de administração que usa ?lang=es torna-se vulnerável quando ?lang=../../etc/passwd expõe os utilizadores do sistema.
● Perguntas frequentes
O que é Inclusão Local de Ficheiros (LFI)?
Vulnerabilidade que permite ao atacante fazer o servidor incluir e executar ou apresentar ficheiros locais escolhidos por entradas não sanitizadas. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Inclusão Local de Ficheiros (LFI)?
Vulnerabilidade que permite ao atacante fazer o servidor incluir e executar ou apresentar ficheiros locais escolhidos por entradas não sanitizadas.
Como se defender contra Inclusão Local de Ficheiros (LFI)?
As defesas contra Inclusão Local de Ficheiros (LFI) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Inclusão Local de Ficheiros (LFI)?
Nomes alternativos comuns: LFI.