LFI-RFI (Local /Remote File Inclusion)

Bir web sitesinde anasayfa, hakkında ve iletişim gibi menüdeki sayfalar, sayfalar adında bir klasör içerisinden çağırılıyor olsun. Örneğin anasayfa adresi şu şekilde; site.php/sayfa=?sayfalar=anasayfa.php Burada sayfa yönlendirilmesi hiçbir önlem alınmadan include ile yapıldıysa, <?php include("inc/". $_GET['file']); ?> adres çubuğunda dizinler arasında geçiş yapabilir ve sunucudan dosya görüntüleyebiliriz. site.php/sayfa=?sayfalar=/etc/password isteği yaparsak ilgili dizine ulaşır parolaları görüntüleyebiliriz. İsteği shell bulunan bir adrese yaparak shell atmayı sağlayabiliriz.

Eğer sunucu içerisinden dosya alınıyorsa local file inclusion(yerelden dosya dahil etme),
uzaktan bir dosya çekilebiliyorsa remote file inclusion(uzaktan dosya dahil etme) zafiyeti denir.

LFI-RFI Saldırılarından Nasıl Korunabiliriz?

İnclude fonksiyonu dinamik olarak kullanılmamalıdır. Yönlendirme yapmak durumunda kalındığında switch case kullanılmalıdır.