File İnclusion Zaafiyeti

0

 

LOCAL FİLE INCLUSİON NEDİR ?​

“File inclusion” olarak adlandırılan bu zafiyet çeşidi sayfaya eklenen dosyaların kullanıcı girdisi ile alındığı yada herhangi bir şifreleme,filitreleme işlemi olmadan gönderilmesi sonucunda kullanıcının yetkisi olmayan dosyaları görüntüleyebilmesini,okuyabilmesini sağlayan oldukça zararlı bir zafiyet çeşididir.
Local file inclusion ise local yani yerel makinamızdan dosya ekleyerek kod çalıştırdığımız file inclusion çeşitlerinden bir tanesidir.
Bu zafiyetin sömürülme şekli genelde okunmak istenilen dosyanın yolunu deneme yanılma yöntemi ile bularak sömürebildiğimiz bir zafiyet türüdür.

RFI (Remote Fıle Include) Nedir?​

RFI, uzaktan dosya dahil etmek anlamına gelmektedir. Diğer açık türlerinde olduğu gibi bu açık da izinsiz olarak yapılmaktadır. Bu açığın mantığı açık bulduğumuz siteye istediğimiz bir dosyayı dahil etmektir. Yani herhangi bir exploit kodu veya editör yardımı ile uzaktan zararlı dosya olarak belirlediğimiz Shell dosyamızı yükleyerek sisteme sızabilmekteyiz. Bu açık türü güncel olarak fazla bulunmamasına rağmen tam olarak önlem alınamamıştır. Yeni çıkan editörler bazı kodlama noktalarında açıklar bırakmıştır bu açıklar da çeşitli buglara neden olmaktadır. Bu buglar ile birlikte siteye kolay bir şekilde sızılarak shell yüklenebilmektedir. İzinsiz olarak yüklenen bu dosyalar sunucu üzerinde yer alan diğer web uygulamaları üzerinde de etki bırakabilmektedir. Bu açık türünün yaygın olmamasıyla birlikte herhangi bir hata sunucuda bulunan tüm siteleri olumsuz etkileyebilir. Bu hata da maddi manevi birçok zararı beraberinde getirebilir. Web uygulamalarımız üzerinde bu tarz güvenlik açıklarının meydana gelmemesi için kişi kendine özel yazılım kullanmalıdır bu sayede bu gibi açıklar söz konusu olmayacaktır.

Secured By miniOrange