Saeid Bostandoust
روز دوشنبه مورخ 97/04/04 با همکاری گروه شیرازلاگ و انجمن IEEE دانشگاه شیراز همایشی با موضوع امنیت نرم افزار های وب با تمرکز به روی زبان PHP برگزار گردید که در این نشست به بررسی آسیب پذیری های رایج وب و نحوه جلوگیری از به وجود آمدن آن ها پرداختیم. همچنین نکاتی در مورد برنامه نویسی ایمن به زبان PHP به حاضرین این سمینار ارایه شد.
در قسمت اول به توضیح مقدماتی در مورد آسیب پذیری LFI پرداختیم. همانطور که گفته شد در توابع یاد شده ممکن است ورودی کاربر با مقادیری دیگر ترکیب شده و سپس عمل فراخوانی صورت گیرد. در این قسمت به بررسی نمونه کدهایی جهت شناسایی این آسیب پذیری خواهیم پرداخت.
توجه: نمونه کدهای زیر به عنوان مثال نوشته شده و ممکن است در فضای واقعی متفاوت باشد.
یکی از آسیب پذیری های رایج در وبسایت ها، آسیب پذیری LFI یا Local File Inclusion می باشد. زمانی که اکسپلویت کردن آسیب پذیری RFI به هر دلیلی مانند تنظیم allow_url_include=off امکان پذیر نباشد، از این آسیب پذیری جهت نفوذ به سیستم هدف استفاده می نماییم. این آسیب پذیری نیز همانند RFI در توابع زیر ممکن است بوجود آید.
