Bug LFI Adalah Jenis Bug Yang Bisa Di Bilang (CRITICAL/BERBAHAYA). Karena Dengan Adanya Bug Ini, Hacker/Attacker Dapat Mengakses Semua File Yang Ada Di Situs Hanya Dengan Melalui Parameter Url Saja..
Bingung?
Oke, Coba Perhatikan.. Bagaimana Caranya Agar Saya Dapat Membuat File Dan Di Akses Di Page Bagian Index Saja?
Jika Saya Membuat File ardyanx.php Lalu Saya Simpan Di Dalam Folder /Team/ Lalu Untuk Menjalankanya Tentu Seperti Ini : site.com/Team/ardyanx.php
Namun Bagaimana Jika Saya Hanya Ingin Menjalankanya Di Index.php?
Maka Hasilnya Akan Seperti Ini :
www.site.com/index.php?page=Team/ardyanx.php
Nah Pada Bagian Parameter Inilah Yang Bisa Kita Manfaatkan Untuk Menjalankan Perintah Unruk Membongkar Isi File Dalam Server..
Contoh : www.site.com/index.php?page=/etc/passwd
Jika Server Target Adalah Linux/Unix. Maka Akan Memunculkan Isi Password File Tersebut.
Namun Jika Web Tersebut Rentan Namun Tidak Memunculkan Isi Password? Bagaimana?
Coba Kamu Mundurkan Directorynya Dengan Cara Menambahkan ../ Pada Depan Input Page=
Contoh : www.site.com/index.php?page=../etc/passwd
Jika Masih Belum Muncul Bisa Di Mundurkan Directorynya Lebih Banyak Lagi...
../../../../etc/passwd
Itu Untuk Tehnik Penyeranganya,, Bagaimana Untuk Menutupnya? Dan Apa Saja Yang Harus Di Perhatikan?
Untuk Cara Mencegahnya Antara Lain Dengan Memvalidasi Variable, Dan Masih Banyak Lainya..
Dan Yang Harus Di Perhatikan Adalah Pada Bagian Include Seperti include(); / include_once(); Dan Lainya..
Untuk Lebih Detailnya Kalian Bisa Lihat Pada Video Di Bawah Ini..
">test bang ardyan awokawokawok
ReplyDelete