LFI dan RFI

Pengertian

• LFI (Local File Inclusion) adalah bug yang memungkinkan sang attacker untuk menampilkan file2 yang ada pada server.
• RFI (Remote File Inclusion) adalah bug yang memungkinkan sang attacker untuk mengincludekan file dari luar server.

Sebab Terjadinya

• Kecerobohan programmer dan developer terkait dengan penggunaan sintaks yang tidak terfilter dengan baik. Berikut sintaks yang berpotensi terjadi bug :
• include()
• include_once()
• require()
• require_once()
• Biasanya terjadi ketika konfigurasi di server :
• allow_url_include = on
• allow_url_fopen = on
• magic_quotes_gpc = off

Bug LFI dan RFI Berbahaya ?

• LFI : Penyerang dapat mengakses seluruh file yang ada pada server
• RFI : Penyerang dapat meng-include-kan file dari luar server, biasanya penyerang meng-inject-kan sebuah php shell.

Penanganan

• Memvalidasi variabel.
• Mengkonfigurasi PHP Settings di webserver.
• Menambahkan ".\" pada perintah include yang dipakai.

* Dikutip dari berbagai sumber

"As a young boy, I was taught in high school that hacking was cool." - Kevin Mitnick