LFI merupakan kerentanan yang sangat berbahaya, ini bisa membuat seorang penyerang bisa mengelabui aplikasi web kalian termasuk file berbahaya. Pada artikel kali ini kita akan membahas apa itu LFI mulai dari pengertian LFI sampai solusi untuk mencegahnya.
Baca Juga: Apa Itu Shell Dalam Komputer
DAFTAR ISI
Pengertian LFI
Local File Inclusion (LFI) adalah kerentanan yang sering ditemukan dalam aplikasi web yang ditulis dengan buruk. Kerentanan ini terjadi ketika aplikasi web memungkinkan pengguna untuk mengirimkan input ke file atau mengupload file ke server.
Kerentanan LFI memungkinkan penyerang untuk membaca (dan kadang-kadang mengeksekusi) file pada mesin korban. Ini bisa sangat berbahaya karena jika server web salah konfigurasi dan berjalan dengan hak istimewa tinggi, penyerang dapat memperoleh akses ke informasi sensitif. Jika penyerang dapat menempatkan kode pada server web melalui cara lain, maka mereka mungkin dapat menjalankan perintah sewenang-wenang.
Bagaimana Cara Kerja LFI
File Inclusion biasanya diperlukan untuk menjaga kode aplikasi web tetap rapi dan terpelihara. Mereka juga memungkinkan aplikasi web untuk membaca file dari sistem file, menyediakan fungsionalitas upload, mengurai file konfigurasi dan melakukan tugas serupa lainnya.
Tetapi ini bisa berbahaya jika tidak diterapkan dengan benar, penyerang dapat mengeksploitasi mereka dan membuat serangan LFI yang dapat menyebabkan pengungkapan informasi, Cross-Site-Scripting (XSS) dan kerentanan Rmote Code Execution (RFI).
Bahkan tanpa kemampuan untuk mengupload dan mengeksekusi kode, kerentanan Local File Inclusion dapat berbahaya. Penyerang masih dapat melakukan serangan Directory Traversal menggunakan kerentanan LFI sebagai berikut.
https://website.com/?file=index.php
Dapat diubah menjadi seperti ini:
https://website.com/?file=/etc/passwd
Dalam contoh di atas, penyerang bisa mendapatkan konten file /etc/passwd yang berisi daftar pengguna di server menggunakan kerentanan Local File Inclusion untuk melakukan serangan Directory Traversal. Demikian pula, penyerang dapat memanfaatkan kerentanan Direktori Traversal untuk mendapatkan akses ke kredensial, log, kode sumber, dan informasi sensitif lainnya yang dapat membantu memajukan serangan.
Bagaimana Mencegah Kerentanan LFI
Eksploitasi kerentanan Local File Inclusion pada aplikasi web dapat memiliki dampak negatif yang tinggi. Bahkan kerentanan LFI tercantum dalam daftar 10 teratas kerentanan aplikasi web OWASP.
Sebenarnya cara terbaik untuk menghilangkan kerentanan Local File Inclusion (LFI) adalah dengan menghindari secara dinamis memasukkan file berdasarkan input pengguna. Jika ini tidak memungkinkan, aplikasi harus mempertahankan daftar putih file yang dapat dimasukkan untuk membatasi kontrol penyerang atas apa yang dimasukkan.
Kesimpulan
Jadi Local File Inclusion (LFI) adalah kerentanan yang umum ditemukan pada aplikasi web. Kerentanan ini ada ketika aplikasi web menyertakan file tanpa membersihkan input dengan benar, memungkinkan penyerang untuk menyertakan file lokal yang tersimpan di server agar dapat menjadi bagian dari proses eksekusi aplikasi.
Sekian artikel Pengertian LFI (Local File Inclusion). Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…