Manuel Kaynak Kod Analizinde File Inclusion Zafiyeti Tespiti

İlk olarak dvwa uygulamasında File Inclusion butonunu tıklayalım ve File Inclusion zafiyetini tespit edelim.

File Inclusion için php projede aşağıdaki fonksiyonlar aratılabilir:

include

require

require_once

include_once

Dvwa makinasında yer alan File Inclusion bölümündeki low sekmesinden kaynak kodu aşağıdaki şekilde düzenlenmiştir:

1.<?php

2. include( $_GET[‘page’]); //The page we wish to display

3.?>

2.satırda GET metodu ile page parametresi ile alınan değer(dosya) include fonksiyonu yardımıyla görüntülenmesi sağlanmıştır.

File Inclusion zafiyetini kapatmak için verilen parametrenin bir dizide olup olmadığı kontrol edilebilir , eğer dizide varsa görüntülenmesi sağlanabilir.

Örneğin:

<?php

$templates = array(‘birinci.php’ => 1, ‘ikinci.php’ => 2, ‘ucuncu.php’ => 3);

if ($templates[$_GET[‘page’]]>0){

include($_GET[‘page’]);}

else{

echo “Hata”;}

?>;

LFI’dan RCE’ye Trafik Analizi yazımıza https://kaleileriteknoloji.medium.com/lfidan-rce-ye-trafik-analizi-7ef4f863dcf1 linki aracılığıyla ulaşabilirsiniz.