SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - LFI Filter Bypass Teknikleri ve Siber Güvenlik
#SIBERGüVENLIK #LFIZAFIYETI #LOCALFILEINCLUSION #SıZMATESTI #PENETRATIONTESTING #WEBUYGULAMAGüVENLIğI

LFI Filter Bypass Teknikleri ve Siber Güvenlik

Samet Karabulut

March 24, 2026

3 min read

Giriş

LFI (Local File Inclusion) zafiyeti, web uygulamalarında yerel dosyaların dahil edilmesini sağlayan bir açıklıktır. Bu zafiyet, saldırganların sunucudaki kritik dosyaları okumasına veya değiştirmesine olanak tanır. Benim sızma testi deneyimime göre, LFI zafiyeti sıklıkla karşılaşılan bir açıklıktır.

Ben, sızma testlerinde LFI zafiyetini tespit etmek ve sömürmek için çeşitli teknikler kullanıyorum. Bu teknikler, sunucudaki dosyaların dahil edilmesini sağlayan parametrelerin manipüle edilmesine dayanır. Örneğin, bir web uygulamasının bir parametresini değiştirerek, sunucudaki kritik dosyaları okumak mümkün olabilir.

LFI Zafiyeti

LFI zafiyeti, genellikle web uygulamalarında kullanılan yerel dosya dahil etme mekanizmalarının kötüye kullanılmasından kaynaklanır. Bir saldırgan, sunucudaki bir dosyayı dahil etmek için web uygulamasının bir parametresini manipüle edebilir. Örneğin, bir web uygulamasının "include" parametresini değiştirerek, sunucudaki kritik dosyaları okumak mümkün olabilir.

Ben, LFI zafiyetini tespit etmek için Nmap ve Nikto gibi araçları kullanıyorum. Örneğin, bir web uygulamasını tarerken, Nmap ile "-sV" parametresini kullanarak, web uygulamasının kullanılan teknolojileri tespit edebilirim.

nmap -sV example.com

LFI Sömürü

LFI zafiyetini sömürmek için, genellikle bir payload oluşturup, sunucudaki kritik dosyaları okumak veya değiştirmek için kullanılır. Örneğin, bir web uygulamasının bir parametresini değiştirerek, sunucudaki kritik dosyaları okumak mümkün olabilir.

$payload = "/etc/passwd";
include($payload);

Ben, LFI zafiyetini sömürmek için curl gibi araçları kullanıyorum. Örneğin, bir web uygulamasına bir istek göndererek, sunucudaki kritik dosyaları okumak mümkün olabilir.

curl -X GET "example.com/vulnerable.php?include=/etc/passwd"

Çözüm ve Önlem

LFI zafiyetini önlemek için, web uygulamalarında kullanılan yerel dosya dahil etme mekanizmalarının güvenli olarak tasarlanması ve uygulanması önemlidir. Örneğin, bir web uygulamasının bir parametresini değiştirerek, sunucudaki kritik dosyaları okumak mümkün olmadığını sağlamak için, input validation ve sanitization gibi teknikler kullanılabilir.

Ben, LFI zafiyetini önlemek için, web uygulamalarında kullanılan teknolojilerin güncel tutulmasını ve uygun konfigürasyonların yapılmasını öneriyorum. Örneğin, bir web uygulamasının kullanılan teknolojilerini güncel tutmak, LFI zafiyetini önlemek için önemlidir.

Sonuç

LFI zafiyeti, web uygulamalarında kritik dosyaların dahil edilmesini sağlayan bir açıklıktır. Ben, LFI zafiyetini tespit etmek ve sömürmek için çeşitli teknikler kullanıyorum. LFI zafiyetini önlemek için, web uygulamalarında kullanılan teknolojilerin güncel tutulmasını ve uygun konfigürasyonların yapılmasını öneriyorum.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.