Local file inclusion: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können. Dadurch lassen sich…“) |
Keine Bearbeitungszusammenfassung |
||
Zeile 6: | Zeile 6: | ||
Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann. | Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann. | ||
==Quellen== | |||
https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/ | |||
https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/ |
Aktuelle Version vom 23. Februar 2020, 10:29 Uhr
Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können.
Dadurch lassen sich z.B. Inhalte aus Dateien, welche sich auf dem Server befinden, auslesen. Dabei kann es sich um Passwortdateien, Konfigurationsdateien oder andere Dateien mit sensiblen Inhalten handeln.
Sollten die eingebundenen Dateien PHP Code oder clientseitigen Code beinhalten, den der Webserver/Browser interpretieren kann, wird dieser ausgeführt. Somit lassen sich also auch vorhandene PHP Dateien einbinden und ausführen.
Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.
Quellen
https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/
https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/