LFI və RFI açığı

F-19

VIP
İsmarıclar
63
Reaksiya xalı
53
Qoşuldu
7 Avq 2023
Yaş
24
  1 illik istifadəçi
Məkan
Baku

LFI NƏDİR ? , RFI NƏDİR ?​



Local File Inclusion (LFI) və Remote File Inclusion (RFI) adətən veb proqramlarında rast gəlinən təhlükəsizlik zəiflikləridir.

Yerli Fayl daxil edilməsi (LFI):

Tərif:
LFI, hakerin veb brauzer vasitəsilə serverə faylları daxil edə bildiyi zaman baş verir. Bu boşluq istifadəçi tərəfindən ötürülən giriş düzgün təmizlənmədikdə yaranır və hakerin fayl sistemini keçməsinə və əlçatan olmayan faylları daxil etməsinə imkan verir.

İstismar:
Haker konfiqurasiya faylları, server qeydləri və ya kritik məlumatları ehtiva edən digər fayllar kimi həssas faylları daxil etmək üçün zərərli daxiletmə hazırlaya bilər.

Qarşısının alınması:

• Ciddi giriş yoxlamasını həyata keçirin və istifadəçi daxiletməsini təmizləyin.
• Fayl yollarında istifadəçi girişindən çəkinin və ya düzgün kodlaşdırmadan istifadə edin.
• Həssas fayllara girişi məhdudlaşdırmaq üçün fayl icazələrini məhdudlaşdırın.



Uzaqdan Fayl Daxiletmə (RFI):

Tərif:
RFI, hakerin serverə uzaq faylları daxil edə biləcəyi zəiflikdir. Bu, uzaq serverdə yerləşdirilmiş zərərli kodun icrasına səbəb ola bilər.

İstismar:
Haker adətən xarici serverdə yerləşdirilmiş zərərli skriptə işarə edən URL-i yeridir. Həssas proqrama bu URL daxil olduqda, o, uzaqdan kodu icra edir.

Qarşısının alınması:

• İstifadəçi daxiletməsinə əsaslanan dinamik olaraq uzaq faylları daxil etməkdən çəkinin.
• Uzaqdan daxiletmə zəruri olarsa, icazə verilən faylların ağ siyahısından istifadə edin.
• Müvafiq daxiletmənin yoxlanılmasını həyata keçirin və istifadəçi girişini təmizləyin.​
 
Göndərilən Alt