LFI/RFI

LFI (Local File Inclusion) и RFI (Remote File Inclusion) — это классы уязвимостей веб-приложений, возникающих при небезопасной работе с путями к файлам. LFI позволяет включить локальный файл на сервере (например, /etc/passwd или index.php). RFI позволяет включить удаленный файл (по HTTP или SMB) и часто приводит к удаленному выполнению кода (RCE).

Основные возможности (атакующего):

• LFI: чтение конфигурационных файлов, исходного кода, логов; подмена сессий; реже — RCE через log poisoning или PHP filters
• RFI: выполнение произвольного PHP-кода с удаленного сервера (если включена allow_url_include)
• Обход фильтров через обфускацию, использование null byte injection (старые PHP), кодирование
• Использование в цепочках с загрузкой файлов (file upload → LFI → RCE)

Защита: отключение allow_url_include, валидация входящих параметров по белому списку, использование basename(), хранение файлов вне webroot. LFI/RFI особенно опасны на легаси PHP-системах. В терминах SIEM такие атаки выявляются по параметрам запроса, содержащим ../, http://, file://.

Metascan запускает свою первую конференцию «Периметр»

Поставщики и продукты