Локальное включение файлов (LFI)
Что такое Локальное включение файлов (LFI)?
Локальное включение файлов (LFI)Уязвимость, позволяющая злоумышленнику через неочищенный ввод заставить сервер подключить и выполнить либо отобразить локальные файлы.
Локальное включение файлов (LFI) возникает, когда веб-приложение подключает путь, переданный пользователем, без проверки — обычно в скриптовых языках вроде PHP, JSP или классического ASP. Злоумышленник может прочитать исходный код, конфигурационные файлы или журналы и эскалировать атаку до удалённого выполнения кода, подключив файлы с управляемым им содержимым (отравление логов, записи /proc, файлы сессий, загруженные изображения со встроенным кодом). LFI пересекается с обходом каталогов, но ориентирована именно на функции include/require среды выполнения. Защита: белый список имён шаблонов, безопасный роутинг вместо динамических include, проверка пути после канонизации, отключение подключения удалённых URL.
● Примеры
- 01
Эндпоинт с page=../../../var/log/apache2/access.log выполняет подставленные User-Agent как PHP-код.
- 02
Панель администратора с ?lang=es становится уязвимой, когда ?lang=../../etc/passwd раскрывает учётные записи системы.
● Частые вопросы
Что такое Локальное включение файлов (LFI)?
Уязвимость, позволяющая злоумышленнику через неочищенный ввод заставить сервер подключить и выполнить либо отобразить локальные файлы. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Локальное включение файлов (LFI)?
Уязвимость, позволяющая злоумышленнику через неочищенный ввод заставить сервер подключить и выполнить либо отобразить локальные файлы.
Как защититься от Локальное включение файлов (LFI)?
Защита от Локальное включение файлов (LFI) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Локальное включение файлов (LFI)?
Распространённые альтернативные названия: LFI.