Ada dua jenis file yang dimasukkan: file lokal yang dimasukkan ( LFI ) dan file jarak jauh yang dimasukkan ( RFI ). Di LFI, penyerang dapat menyertakan file lokal dari sistem file server web, sementara di RFI, penyerang dapat menyertakan file dari server jarak jauh.
Kerentanan ini terjadi ketika aplikasi web tidak memvalidasi input pengguna dengan benar, seperti nama file atau URL, yang digunakan untuk memasukkan file di halaman web. Dengan memanipulasi input, penyerang dapat menyertakan file berbahaya yang dapat mengeksekusi kode arbitrer di server web, yang mengarah ke kompromi server dan data sensitif.
Untuk mencegah serangan penyertaan file, penting untuk memvalidasi semua input pengguna, terutama nama file dan URL, sebelum memasukkannya di halaman web. Ini dapat dilakukan dengan menggunakan filter, sanitasi, dan teknik validasi input yang sesuai. Selain itu, disarankan untuk memperbarui semua aplikasi web dan perangkat lunak server dengan tambalan keamanan terbaru untuk mengurangi risiko eksploitasi.
Ada beberapa alat yang tersedia untuk mendeteksi dan mengeksploitasi kerentanan inklusi file dalam aplikasi web:
- OWASP ZAP: OWASP ZAP ( Zed Attack Proxy ) adalah alat pengujian keamanan aplikasi web gratis dan sumber terbuka yang dapat digunakan untuk menguji kerentanan inklusi file.
- Burp Suite: Burp Suite adalah rangkaian lengkap alat pengujian keamanan aplikasi web, termasuk fitur untuk menguji kerentanan inklusi file.
- Nmap: Nmap adalah pemindai keamanan jaringan populer yang dapat digunakan untuk memindai server web dan menguji kerentanan inklusi file.
- w3af: w3af adalah pemindai keamanan aplikasi web open-source yang dapat digunakan untuk menguji kerentanan inklusi file dan masalah keamanan aplikasi web lainnya.
- sqlmap: sqlmap adalah alat open-source yang kuat untuk menguji kerentanan injeksi SQL, tetapi juga mencakup fitur untuk menguji kerentanan inklusi file.
LFI dasar
Inklusi File Lokal ( LFI ) adalah jenis kerentanan yang memungkinkan penyerang untuk memasukkan file lokal dari sistem file server web ke halaman web. Ini dapat menyebabkan pengungkapan informasi sensitif dan berpotensi memungkinkan penyerang untuk mengeksekusi kode arbitrer di server.
Teknik dasar untuk mengeksploitasi kerentanan LFI adalah dengan memanipulasi input aplikasi web untuk memasukkan file lokal pilihan penyerang. Misalnya, jika aplikasi web menerima nama file sebagai input dan memasukkannya di halaman web tanpa validasi yang tepat, penyerang dapat memanipulasi input untuk memasukkan file dari sistem file server web, seperti / etc / passwd atau / proc / self / environ, yang mungkin berisi informasi sensitif.
RFI dasar
Inklusi File Jarak Jauh ( RFI ) adalah jenis kerentanan yang memungkinkan penyerang untuk memasukkan file jarak jauh, seperti skrip atau program yang dapat dieksekusi, ke halaman web. Ini dapat mengakibatkan konsekuensi serius, seperti pencurian data, kompromi server, dan akses tidak sah ke informasi sensitif.
Teknik dasar untuk mengeksploitasi kerentanan RFI adalah memanipulasi input aplikasi web untuk memasukkan file dari server jarak jauh, yang dikendalikan oleh penyerang. Misalnya, jika aplikasi web menerima URL sebagai input dan memasukkannya di halaman web tanpa validasi yang tepat, penyerang dapat memanipulasi input untuk memasukkan skrip berbahaya dari server jarak jauh.
Ketika halaman web dimuat, skrip berbahaya akan dieksekusi di server, memberikan penyerang kontrol penuh atas server dan akses ke informasi sensitif. Kerentanan RFI dapat digunakan untuk meluncurkan berbagai serangan, termasuk Cross-Site Scripting ( XSS ), eksekusi kode, dan pencurian data.
Untuk mencegah serangan RFI, penting untuk memvalidasi semua input pengguna, terutama URL, sebelum memasukkannya ke halaman web. Ini dapat dilakukan dengan menggunakan filter, sanitasi, dan teknik validasi input yang sesuai. Selain itu, disarankan untuk memperbarui semua aplikasi web dan perangkat lunak server dengan tambalan keamanan terbaru untuk mengurangi risiko eksploitasi.
LFI / RFI menggunakan pembungkus
Inklusi File Lokal ( LFI ) dan Inklusi File Jarak Jauh ( RFI ) kerentanan dapat dieksploitasi menggunakan “ wrappers ”. Pembungkus adalah teknik yang memungkinkan penyerang untuk memasukkan file dari sistem file server web atau dari server jarak jauh dengan mengirimkan URL atau nama file sebagai parameter untuk skrip yang menyediakan akses ke file target.
Misalnya, jika aplikasi web menyertakan file menggunakan fungsi “ termasuk ” di PHP, penyerang dapat meneruskan URL atau nama file sebagai parameter ke skrip yang menyediakan akses ke file eksternal, seperti “ php: // filter ” atau “ data: // teks ”. Ini memungkinkan penyerang untuk memasukkan file jarak jauh atau mengakses file lokal yang biasanya tidak dapat diakses karena pembatasan pada server web.
LFI ke RCE
Inklusi File Lokal ( LFI ) adalah kerentanan yang memungkinkan penyerang untuk memasukkan file lokal dari sistem file server web ke halaman web. Dalam beberapa kasus, kerentanan ini dapat digunakan untuk mencapai Eksekusi Kode Jarak Jauh ( RCE ), yang memungkinkan penyerang untuk mengeksekusi kode arbitrer di server.
Teknik dasar untuk mengeksploitasi kerentanan LFI untuk mencapai RCE adalah dengan memasukkan skrip atau file yang dapat dieksekusi yang berisi kode berbahaya. Ini dapat dilakukan dengan memanipulasi input aplikasi web untuk memasukkan file pilihan penyerang. Misalnya, jika aplikasi web menyertakan file menggunakan fungsi PHP “ termasuk ”, penyerang dapat memanipulasi input untuk memasukkan skrip PHP berbahaya.
Untuk mencapai RCE, penyerang harus menemukan cara untuk menyuntikkan kode berbahaya ke dalam file yang akan dimasukkan oleh aplikasi web. Ini dapat dilakukan dengan mengeksploitasi kerentanan dalam perangkat lunak server web, seperti versi PHP dengan cacat keamanan yang tidak ditambal, atau dengan mengunggah file berbahaya ke sistem file server web.