File Inclustion · 악의적인 코드가 입력된 파일을 사용자가 서버에서 열람하는 공격이다. Remote & Local File Inclusion (RFI/LFI) · RFI : 외부 서버에 있는 악의적인 파일을 이용하여 내부 서버에 있는 정보를 획득하는 방식 · LFI : 내부 서버 자체적인 취약점을 이용하여 내부 서버에 있는 정보를 획득하는 방식 rlfi.php RFI/ LFI 취약점을 이용하여 서버안에 있는 정보를 획득한다.
난이도 '하' *LFI 방식 아래 사진들을 보면 language 변수가 각 select 요소 마다 변수값이 달라지는 것을 확인할 수 있다. 이전 페이지에서 봤던 Directory Traversal 취약점을 이용할 수 있을 것같다. language=../../../..
/etc/passwd 위의 사진처럼 서버의 정보가 노출되는 것을 확인할 수 있다. 이 방법이 내부에서의 취약점을 이용한 LFI 방식 이다.
*RFI 방식 insecure.crypt_sto...
#
beebox
#
LFI
#
LocalFileInclusion
#
MissingFunctionLevelAccessControl
#
Remote
#
RFI
![webhacking.kr 24 [100]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMTFfNzEg/MDAxNTgzODk1NTAyNjY3.5k4WuXX2bqAYKRpoupo-vd5DeKcdzwVm2-5QnAF66yIg.DznDEOtBMU1kru-xpltthdDSP8DWyPddUw0_gzBAa8og.PNG.ster098/image.png?type=w2)
![[Security Word] - 스니핑(Sniffing)](https://mblogthumb-phinf.pstatic.net/MjAyMDA1MTZfMTY4/MDAxNTg5NjE1MzE5MTY3.y9IozJ8B7nT0aCn3MsA8pJXAoQOlA6onfyx5EWPvIckg.pjFckrPxHnFaGCXIJCMQd0VAlyCqsvIPvnZ8-90Vrrgg.PNG.ster098/image.png?type=w2)