File Inclusion / Path Traversal

Résumé – L’inclusion de fichiers locaux (LFI) est une vulnérabilité web où les attaquants manipulent les entrées pour inclure et exécuter des fichiers locaux sur un serveur web, exposant potentiellement des informations sensibles. Le Path Traversal est une vulnérabilité similaire où les attaquants manipulent les entrées pour traverser les répertoires, et, accédant potentiellement à des fichiers en dehors de la portée prévue, ce qui peut conduire à l’exposition de données non autorisées ou à l’exécution de code.

Objectif(s) :

• Exploiter le Path Traversal pour accéder à des fichiers sensibles en dehors de la racine du site web, tels que les fichiers de configuration ou les journaux du système.
• Manipuler l’inclusion de fichiers pour lire ou exfiltrer des données confidentielles, y compris des comptes d’utilisateurs ou des documents privés.
• Abuser du Path Traversal pour obtenir un accès non autorisé à des zones restreintes, telles que les panneaux d’administration ou les profils d’utilisateurs.
• Rediriger l’inclusion de fichiers pour exécuter des commandes système sur le serveur, compromettant ainsi sa sécurité.
• Exploiter l’inclusion de fichiers pour divulguer le code source, exposant ainsi les vulnérabilités de l’application ou des informations propriétaires.
• Falsifier les requêtes pour inclure des fichiers distants, ce qui peut faciliter les attaques par exécution de code à distance