이번 토픽에서는 lfi라고 알려진 취약점에 대해 알아보겠습니다.
lif란 local file inclusion의 약자로 우리가 공격할 서버(local)에 있는 파일을 사용하여 공격을 수행하는 방법입니다. lfi 취약점은 php로 만들어진 웹 사이트에서 include, require, require_once, file_get_contents, fopen 등 의 함수를 사용했을 때 발생합니다.
예를 들어 include()함수는 받아온 입력값을 경로 뒤에 그대로 추가하기 때문에 lfi취약점에 활용할 수 있다. 이 때 앞에서 배운 디렉토리 접근공격이 활용된다. 앞에서 언급한 것처럼 include()함수는 받아온 입력값을 그대로 경로에 추가하기 때문에 var/www/html/index.php나 etc/passwd에 접근할 수 있습니다.
이번 토픽에서는 간단하게 lfi란 무엇인지에 대해 알아보았습니다. 다음 토픽에서는 php wrapper를 이용한 lfi에 대해 알아보도록 하겠습니다.