မြန်မာဘာသာ
မြန်မာဘာသာ
လက်ရှိကွန်ယက်လုံခြုံရေးပတ် 0 န်းကျင်တွင် LFI (local file ပါဝင်သည်) အားနည်းချက်များကို PHP application များတွင်ဘုံနှင့်အကြီးအကျယ်ထိခိုက်နိုင်သောလုံခြုံရေးပြ issues နာများထဲမှတစ်ခုဖြစ်သည်။ LFI အားနည်းချက်သည်တိုက်ခိုက်သူအားဆာဗာပေါ်ရှိ local files များကိုအန္တရာယ်ရှိသော URL လမ်းကြောင်းမှတစ်ဆင့်ဝင်ရောက်ခွင့်ပြုသည်။ ၎င်းသည်အထိခိုက်မခံသောသတင်းအချက်အလက်ယိုစိမ့်မှုသို့မဟုတ်ဆာဗာကိုအပြည့်အ 0 ထိန်းချုပ်ထားသည်။ ထို့ကြောင့် LFI အားနည်းချက်များကိုဖော်ထုတ်ခြင်းနှင့် PHP လုံခြုံရေးကိုပြည့်စုံစွာအကဲဖြတ်ခြင်းသည်အလွန်အရေးကြီးသည်။
LFI အားနည်းချက်များသည်များသောအားဖြင့်မလုံခြုံသောဖိုင်ပြုပြင်ခြင်းယန္တရားများ၏ဒီဇိုင်းများမှဆင်းသက်လာသည်။ လျှောက်လွှာတစ်ခုသည်အသုံးပြုသူများအား parameters တွေကိုမှတစ်ဆင့်ဖိုင်လမ်းကြောင်းများကိုသတ်မှတ်ထားပြီးထိရောက်သောစိစစ်ခြင်းနှင့်စစ်ထုတ်ခြင်းတို့မရှိသောကြောင့်တိုက်ခိုက်သူသည်ဤအားနည်းချက်ကိုထုတ်ဖော်ပြောဆိုရန်သို့မဟုတ်လုပ်ဆောင်ရန်သို့မဟုတ်လုပ်ဆောင်ရန်ဤအားနည်းချက်ကိုအမြတ်ထုတ်နိုင်သည်။ ဥပမာအားဖြင့်တိုက်ခိုက်သူသည် configuration file တစ်ခုကိုရယူရန်ကြိုးစားလိမ့်မည်။
<span class="fun">http://example.com/index.php?page=../../etc/Passwd</span>
အထက်ပါတောင်းဆိုချက်သည်ဆာဗာရှိစကားဝှက်ဖိုင်ကိုရယူရန်ရည်ရွယ်သည်။ အောင်မြင်ခဲ့ပြီးတဲ့နောက်မှာလုံခြုံရေးအဖြစ်အပျက်တစ်ခုကိုဖြစ်ပေါ်စေနိုင်တယ်။
LFI အားနည်းချက်များကိုဖော်ပြသည့်အန္တရာယ်များမှာ -
သတင်းအချက်အလက်ယိုစိမ့်ခြင်း - တိုက်ခိုက်သူများသည်အားနည်းသောဖိုင်များကိုအားနည်းချက်များကို ရယူ. စနစ်သို့မဟုတ်လျှောက်လွှာနှင့်ပတ်သက်သောအရေးကြီးသောအချက်အလက်များကိုရယူနိုင်သည်။
Remote Code Execution: အချို့သောကိစ္စရပ်များတွင်တိုက်ခိုက်သူသည်ဆာဗာကိုထိန်းချုပ်ရန်အန္တရာယ်ရှိသောဖိုင်များအပါအ 0 င် Code Execution ကိုအကောင်အထည်ဖော်နိုင်သည်။
0 န်ဆောင်မှုပြတ်တောက်မှု - တိုက်ခိုက်သူသည်အန္တရာယ်ရှိသောတောင်းဆိုမှုများစွာဖြင့်တိုက်ခိုက်သူသည်လျှောက်လွှာသို့မဟုတ်ဆာဗာကိုပျက်ကျနိုင်ပြီး 0 န်ဆောင်မှုကိုငြင်းပယ်စေသည်။
LFI အားနည်းချက်များကိုကာကွယ်ရန်အတွက် developer များသည်အောက်ပါရှုထောင့်များကိုအာရုံစိုက်ခြင်း, ပုံမှန်လုံခြုံရေးအကဲဖြတ်မှုများပြုလုပ်ရန်လိုအပ်သည်။
အသုံးပြုသူထည့်သွင်းမှုအားလုံးကိုတင်းကြပ်စွာစစ်ဆေးပြီးစစ်ထုတ်သင့်သည်။ ခွင့်ပြုထားသောဖိုင်အမည်များကိုကန့်သတ်ရန် Whitelististing ယန္တရားကိုအသုံးပြုခြင်းအားဖြင့် LFI အန္တရာယ်များကိုထိထိရောက်ရောက်လျှော့ချနိုင်သည်။ နမူနာကုဒ်သည်အောက်ပါအတိုင်းဖြစ်သည် -
<span class="fun">IF (အတွက် ($ စာမျက်နှာ, $ precess_pages_pages_pages_pages_pages)) ပါ 0 င်ပါက ($ စာမျက်နှာ), } အခြား {Die ("မမှန်ကန်သောစာမျက်နှာ။ "); }</span>ဆာဗာဖွဲ့စည်းမှုမှတစ်ဆင့်အထိခိုက်မခံနိုင်သောဖိုင်များကိုလက်လှမ်းမီမှုကိုကန့်သတ်ပါ။ Php Configuration တွင် Open_basedir Parameter ကို သုံး. scripts များ 0 င်ရောက်နိုင်သည့် Directory ကိုကန့်သတ်ထားသည့်လမ်းညွှန်ကိုကန့်သတ်ရန်,
အထိခိုက်မခံသောသတင်းအချက်အလက်များကိုပေါက်ကြားခြင်းမှကာကွယ်ရန်အတွက်အမှားအယွင်းများကိုထုတ်လွှင့်မှုပြသမှုကိုပိတ်ထားသင့်သည်။ Error Report display ကို PHP configuration ကိုပြုပြင်ခြင်းဖြင့် PHP configuration ကိုပြုပြင်ခြင်းဖြင့်ပိတ်ထားနိုင်သည်။
LFI အားနည်းချက်များသည် PHP applications များကိုလုံခြုံရေးဆိုင်ရာခြိမ်းခြောက်မှုတစ်ခုဖြစ်ပြီးပုံမှန်အားနည်းချက်များကိုစစ်ဆေးခြင်းနှင့်လုံခြုံရေးအကဲဖြတ်မှုများပြုလုပ်ရန်အထူးအရေးကြီးသည်။ ကျိုးကြောင်းဆီလျော်သော input ကိုအတည်ပြုခြင်းအားဖြင့်ခွင့်ပြုချက်ထိန်းချုပ်မှုနှင့်အပြည့်အဝအမှားကိုင်တွယ်သည့်ယန္တရားတစ်ခုအားဖြင့်တိုက်ခိုက်ခံရနိုင်သည့်အန္တရာယ်ကိုထိထိရောက်ရောက်လျှော့ချနိုင်သည်။ Developer များနှင့်လုံခြုံရေး 0 န်ထမ်းများအနေဖြင့်အသုံးပြုသူအချက်အလက်နှင့်စနစ်လုံခြုံရေးကိုသေချာစေရန် LFI နှင့်အခြားအလားအလာရှိသောအားနည်းချက်များကိုဆက်လက်အာရုံစိုက်သင့်သည်။
