|
|
Zeile 1: |
Zeile 1: |
| Local File Inclusion (LFI) ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können.
| |
|
| |
|
| Dadurch lassen sich z.B. Inhalte aus Dateien, welche sich auf dem Server befinden, auslesen. Dabei kann es sich um Passwortdateien, Konfigurationsdateien oder andere Dateien mit sensiblen Inhalten handeln.
| |
|
| |
| Sollten die eingebundenen Dateien PHP Code oder clientseitigen Code beinhalten, den der Webserver/Browser interpretieren kann, wird dieser ausgeführt. Somit lassen sich also auch vorhandene PHP Dateien einbinden und ausführen.
| |
|
| |
| Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI Sicherheitslücke ausgeführt werden kann.
| |