Local file inclusion: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können. Dadurch lassen sich…“)
 
Keine Bearbeitungszusammenfassung
 
Zeile 6: Zeile 6:


Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.
Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.
==Quellen==
https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/
https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/

Aktuelle Version vom 23. Februar 2020, 10:29 Uhr

Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können.

Dadurch lassen sich z.B. Inhalte aus Dateien, welche sich auf dem Server befinden, auslesen. Dabei kann es sich um Passwortdateien, Konfigurationsdateien oder andere Dateien mit sensiblen Inhalten handeln.

Sollten die eingebundenen Dateien PHP Code oder clientseitigen Code beinhalten, den der Webserver/Browser interpretieren kann, wird dieser ausgeführt. Somit lassen sich also auch vorhandene PHP Dateien einbinden und ausführen.

Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.

Quellen

https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/

https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/