Merhaba ben Anka timden Bunjo, bu konuda "Local File Inclusion" web açığını ele alacağım.
Local File Inclusion (LFI)
LFI, bir web uygulamasının, sunucu üzerindeki yerel dosyaları dahil etme yeteneği sağlayan bir güvenlik açığıdır.
Saldırgan, genellikle URL parametreleri veya diğer kullanıcı giriş noktaları aracılığıyla, sunucu üzerindeki dosyaları dahil etmeye çalışır.
Bu tür bir açık, uygulamanın kullanıcı girişlerini yeterince doğrulamamasından kaynaklanır ve saldırganın uygulama üzerindeki dosyalara erişimine olanak tanır.
Pratik kısmında "bwapp" adlı bir makineyi kullanacağım, konuya dahil olmadığı için kurulumu anlatmadım internetten kısa bir arama ile indirebilirsiniz.
Pratik
Siteye giriş yaptığmızda bizden bir seçim yapmamızı istiyor.
"English" seçerek "Go" butonuna basıyorum.
URL kısmına geldiğimiz zaman girdiğimiz parametre bir dosya ile eşleşerek ekrana yansıyor.
Yukarıdan parametre üzerinde yaptığımız oynamalar ile bize yol gösterici bir hata çıktısı almaya çalışıyoruz.
İstediğimiz hata mesajını alıyoruz.
Not: Linux platformlarda "../" bir önceki dizine dönme anlamına geliyor, bizde bunu kullanarak klasörler
arası geçiş yaparak istediğimiz dosyaları sahip olduğumuz izin doğrultusunda okumaya çalışacağız.
"../../../etc/passwd"
Eğer dosyayı okumak için bir izine sahip değilseniz böyle bir durumla karşılaşacaksınız.
Dosya okuma işlemimizi de hallettiğimize göre bu konunun burada sonuna gelelim. En basit şekilde temel bir anlatım yapmaya çalıştım. Okuyan herkese teşekkür ederim.
Son düzenleme:
