TryHackMe - File Inclusion

Tham khảo:

• https://viettelidc.com.vn/tin-tuc/tim-hieu-ve-tan-cong-khai-thac-lo-hong-file-inclusion
• File Inclusion — TryHackMe Walkthrough | by WiktorDerda | Medium

File Inclusion là lỗ hổng cho phép kẻ tấn công truy cập trái phép các tệp trên server hoặc thực thi các tệp độc hại từ xa.

• Local File Inclusion (LFI): Khai thác các tệp cục bộ trên server.
• Remote File Inclusion (RFI): Thực thi các tệp từ một server từ xa.

Mục lục

• TryHackMe - Path Traversal
• TryHackMe - Local File Inclusion
• TryHackMe - Remote File Inclusion
• TryHackMe - File Inclusion Challenges

Cách khắc phục

1. Cập nhật hệ thống: Luôn cập nhật hệ thống và các framework lên phiên bản mới nhất.
2. Tắt thông báo lỗi PHP: Tránh làm lộ đường dẫn ứng dụng và các thông tin nhạy cảm khác.
3. Sử dụng WAF: Tường lửa ứng dụng web (Web Application Firewall) giúp giảm thiểu các cuộc tấn công.
4. Vô hiệu hóa các tính năng PHP không cần thiết: Tắt allow_url_fopen và allow_url_include nếu không sử dụng.
5. Phân tích kỹ lưỡng ứng dụng: Chỉ cho phép các giao thức và PHP wrapper cần thiết.
6. Xác thực đầu vào: Không bao giờ tin tưởng đầu vào của người dùng và triển khai xác thực đúng cách.
7. Sử dụng Whitelist và Blacklist: Triển khai danh sách trắng (whitelist) cho tên và vị trí tệp, cũng như danh sách đen (blacklist).