Local file inclusion

Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können.

Dadurch lassen sich z.B. Inhalte aus Dateien, welche sich auf dem Server befinden, auslesen. Dabei kann es sich um Passwortdateien, Konfigurationsdateien oder andere Dateien mit sensiblen Inhalten handeln.

Sollten die eingebundenen Dateien PHP Code oder clientseitigen Code beinhalten, den der Webserver/Browser interpretieren kann, wird dieser ausgeführt. Somit lassen sich also auch vorhandene PHP Dateien einbinden und ausführen.

Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.

Quellen

https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/

https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/