Lfi — различия между версиями

Версия 17:08, 12 октября 2015

LFI - это возможность использования и выполнения локальных файлов на серверной стороне. Уязвимость позволяет удаленному пользователю получить доступ с помощью специально сформированного запроса к произвольным файлам на сервере, в том числе содержащую конфиденциальную информацию.

Если быть точнее, то это уязвимость инклуда файлов с компьютера + недостаточная фильтрация, что позволяет инклудить произвольный файл.

Поиск file inclusion

Вначале разберемся как определить параметры которые отвечают за инклуд файлов.