- AdminCP
- #1
Local File Inclusion (LFI) ve Remote File Inclusion (RFI), web uygulamalarında kritik güvenlik açıklarıdır. Bu açıklar, kötü niyetli bir saldırganın sunucu üzerinde yetkisiz dosyalar çalıştırmasına veya hassas dosyalara erişmesine olanak sağlar.
LFI, bir web uygulamasının kullanıcı girdisini doğrulamadan veya temizlemeden dosya yollarında kullanması sonucu ortaya çıkar. Saldırgan, sunucudaki yerel (local) dosyaları içeri aldırarak:
Örnek:
Bu örnekte, dosya parametresiyle /etc/passwd dosyasının içeriği sunucu tarafından dahil edilip gösterilebilir.
RFI, LFI’nin daha tehlikeli bir versiyonudur. Burada saldırgan, sunucunun uzaktaki (remote) bir sunucudan zararlı dosya çağırmasını sağlar. Bu:
Örnek:
Sunucu, shell.txt dosyasını dış kaynaktan çekip çalıştırır.
ModSecurity, LFI/RFI saldırılarını şu yöntemlerle engeller:
Local File Inclusion (LFI) Nedir?
LFI, bir web uygulamasının kullanıcı girdisini doğrulamadan veya temizlemeden dosya yollarında kullanması sonucu ortaya çıkar. Saldırgan, sunucudaki yerel (local) dosyaları içeri aldırarak:
- Hassas dosyaları (örneğin /etc/passwd, config.php) görüntüleyebilir
- Zararlı kod içeren dosyaları çalıştırabilir
- Uygulama akışını manipüle edebilir
Örnek:
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Bu örnekte, dosya parametresiyle /etc/passwd dosyasının içeriği sunucu tarafından dahil edilip gösterilebilir.
Remote File Inclusion (RFI) Nedir?
RFI, LFI’nin daha tehlikeli bir versiyonudur. Burada saldırgan, sunucunun uzaktaki (remote) bir sunucudan zararlı dosya çağırmasını sağlar. Bu:
- Sunucuda kötü amaçlı kodun çalıştırılmasına
- Tam kontrol ele geçirilmesine yol açabilir
Örnek:
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Sunucu, shell.txt dosyasını dış kaynaktan çekip çalıştırır.
Neden Tehlikelidir?
- Saldırgan, yetkisiz kod çalıştırma (RCE) gerçekleştirebilir.
- Sunucuya aracısız erişim sağlayabilir.
- Hassas bilgileri ele geçirerek, veri sızıntısına yol açar.
- Sistem bütünlüğünü bozar, hizmetin durmasına neden olabilir.
ModSecurity ile LFI/RFI Koruması
ModSecurity, LFI/RFI saldırılarını şu yöntemlerle engeller:
- Dosya yolu parametrelerinde ../, ..\\ gibi dizin geçiş dizilerini filtreler.
- URL parametrelerinde http://, https:// gibi uzak kaynak çağrılarını tespit eder.
- Bilinen zararlı payload imzalarını yakalar.
- Anomali puanlama ile şüpheli aktiviteleri bloke eder.
Özet
- LFI: Sunucudaki yerel dosyaların izinsiz içeri alınmasıdır.
- RFI: Uzaktaki kötü amaçlı dosyaların sunucuya dahil edilmesidir.
- Her iki açıklık da ciddi güvenlik riskleri doğurur.
- Web uygulamalarında input validation, sanitize ve WAF (ör. ModSecurity) kullanımı ile önlenmelidir.