MASIGNALPHAS2101
3071178398193978069

Apa Itu Bug LFD (Local File Download)? Bagaimana Cara Memanfaatkanya?

Apa Itu Bug LFD (Local File Download)? Bagaimana Cara Memanfaatkanya?
Add Comments
Tuesday, October 20, 2020

Halo Semuanya, Kali Ini kita akan ngebahas tentang salah satu kerentanan atau bug yang bernama LFD.

Sebelumnya,, Saya Akan Menjelaskan Kepada Kalian Semua Nih, Apa Itu LFD.

LFD Atau "Local File Download" Adalah salah satu kerentanan atau bug yang dapat memungkinkan penyerang untuk mendownload file yang ada di lokal server, seperti index, config, backup, dan file yang ada di lokal server website miliknya.

Kerentanan atau bug ini termasuk dalam severity hight atau tinggi, dikarenakan penyerang dapat mendownload file yang ada di server lokal, tidak hanya itu, penyerang juga dapat mendownload percakapan pada email server milik korban, melihat path website milik korban, dan lainya.

Seperti apa sih contoh bugnya?

Baik, saya akan perlihatkan sourcecode nya


Diatas adalah contoh script yang rentan terhadap bug LFD (Local File Download).

Nah kenapa saya bisa bilang rentan?
Kalian dapat liat bahwa di script tersebut saya tidak menaruh filterisasi file yang akan di download, sehingga jika halaman tersebut di akses lalu parameternya di ubah menjadi nama file yang ingin di download pasti file akan terdownload jika file tersebut ada di dalam website tersebut.


Contoh sebelum diexploitasi :
site.com/lfd.php?file=tugaskuliah.pdf

Contoh sesudah diexploitasi :
site.com/lfd.php?file=config.php


Kalian Bisa Liat perbedaanya, link asli sebelum di exploitasi mengarahkan kalian untuk mendownload file tugaskuliah.pdf
Namun dengan adanya kerentanan ini di situs mereka, maka ketika nama file tersebut di ubah menjadi file tujuan secara otomatis akan terdownload.
 

Baca Juga :


Bagaimana Cara Menutup Bug Ini?
Kalian dapat memfilternya dengan menambahkan perintah untuk mendownload exstensi tertentu saja.

seperti ini contohnya :
$allowedExtensions = array("pdf");
if(!in_array($ext, $allowedExtensions)) {
header("File Yang Anda Download Tidak Tersedia");
die('File Yang Anda Download Tidak Tersedia');
}

Dengan Memberikan Sedikit Filterisasi Seperti Itu, Maka Website Akan Lumayan Lebih Aman.

Untuk Hasilnya Akan Seperti Ini :


Dengan Begitu Website Akan Jauh Lebih Aman Dari Serangan LFD Atau Yang Biasa Disebut "Local File Download".

Semoga Artikel Kali Ini dapat bermanfaat untuk kamu yang sedang mempelajari bug atau kerentanan ini, terimakasih telah membaca dan sampai ketemu di artikel selanjutnya.

Note: Only a member of this blog may post a comment.