File Inclusion

File Inclusion

파일 인클루전(File Inclusion)은 웹 애플리케이션에서 외부 파일을 포함시키는 기능을 의미한다. 이를 통해 애플리케이션은 외부 파일의 내용을 가져와서 실행하거나 표시할 수 있다. 파일 인클루전은 애플리케이션의 유연성을 높이고 코드 재사용을 촉진하는 데에 유용하지만, 보안 취약점으로 이어질 수 있다.

 

 

파일 인클루션 두 가지 유형

Local File Inclusion (LFI) : LFI는 애플리케이션에게 로컬 파일 시스템에서 파일을 가져오도록 요청하는 공격이다. 이를 통해 공격자는 애플리케이션에 대한 파일 시스템 액세스 권한을 이용하여 시스템 파일이나 중요한 데이터를 노출시킬 수 있다.

 

Remote File Inclusion (RFI) : RFI는 외부 서버에 위치한 파일을 애플리케이션에 포함시키도록 요청하는 공격이다. 공격자는 악의적인 코드가 있는 원격 서버의 파일을 가져와서 실행시킬 수 있다.

 

 

 

실습

파일 bad.php 생성 / 'success'로 치고 싶었는데 오타가 났다

 

 

실행여부 확인

 

 

Low 레벨에서 본격적으로 실습해보자

 

 

'page=' 뒤에 주소를 입력하면 잘 실행됨

 

 

파일 내용을 약간 수정해보자

 

 

수정내용이 잘 반영됨

 

 

medium 레벨로 올린 후 소스코드 확인

 

 

소문자를 피해서만 적으면 실행 가능

 

 

high 레벨도 살펴보자

 

 

Path Traversal 공격을 통해 해결이 가능

 

 

불가능 난이도에서는 꼭 필요한 파일만 include되게 했음을 알 수 있다