Apa itu Local File Inclusion?
Local File Inclusion (LFI) ialah kerentanan/vulnerability yang umum ditemukan pada software web. Kerentanan ini memungkinkan penyerang/attacker guna menyertakan file lokal yang tersimpan di server supaya dapat menjadi unsur dari proses eksekusi aplikasi.
Kerentanan Local File Inclusion (LFI) terjadi karena faedah “include” pada software dapat dimanipulasi oleh pemakai/users melewati Input. Hal ini sebetulnya tidak akan memunculkan permasalahan bilamana input yang berasal dari pemakai bisa difilter atau disanitasi sebelum faedah “include” memprosesnya.
File inclusion pun dapat terjadi pada fungsi software yang memproses file menurut nama file yang diserahkan oleh pemakai. Hal ini pun biasa dinamakan dengan kerentanan File path traversal. Input yang diserahkan oleh pemakai dapat menggunakan link pada url atau melewati input box
Singkat kata, dengan kerentanan Local File Inclusion (LFI) ini, penyerang bisa menginstruksikan software web untuk menyimak isi file yang berada diluar direktori home software tersebut. Misalnya menginstruksikan software web untuk menyimak log file xamp apache yang lazimnya tersimpan di C:\xampp\apache\logs pada windows sistem.
Selain menyimak isi file, penyerang pun dapat menginstruksikan software web yang rentan guna mengeksekusi kode pemprograman yang telah diciptakan dan ditabung oleh penyerang pada suatu file.
Lihat contoh penggunaan Local file Inclusion (LFI).