Apa itu Local File Inclusion - LFI -Kerentanan berbahaya website

byAnggi prayitno 0

Apa itu Local File Inclusion - LFI -Kerentanan berbahaya website

Salah satu celah yang cukup sering muncul adalah LFI atau Local File Inclusion. LFI ini bisa jadi jalan buat attacker mengakses file sensitif di server dan bahkan nyiapin serangan lanjutan. Makanya, penting banget buat developer ngerti serangan ini biar nggak kecolongan.

Apa itu LFI atau Local File Inclusion?

Local File Inclusion atau biasa di singkat LFI secara sederhana adalah celah keamanan di mana aplikasi web membiarkan input user langsung dipakai buat memanggil file lokal. Kalau input itu tidak divalidasi dengan benar, attacker bisa ganti parameternya buat buka file rahasia di server. Inilah kenapa LFI masuk ke daftar serangan berbahaya menurut OWASP.

Contoh kasus: sebuah URL kayak gini

http://website.com/index.php?page=about.php

Harusnya cuma nampilin halaman about.php, tapi attacker bisa ubah jadi:

http://website.com/index.php?page=/etc/passwd

Kalau server rentan, isi file /etc/passwd bakal muncul di web. Dari situ, attacker bisa dapet info penting buat nyerang lebih jauh.

Cara Kerja Serangan LFI

Biar makin jelas apa itu LFI, gini alurnya:

  • Attacker cari parameter yang bisa dipakai buat load file (contoh: ?page= atau ?file=).
  • Mereka masukin path file lokal ke parameter itu.
  • Server yang rentan bakal nurut dan nampilin file tersebut.
  • Kalau berhasil, attacker bisa akses file sensitif, log, kredensial, atau bahkan eksekusi kode.

Dampak dari LFI

Serangan Local File Inclusion ini efeknya bisa cukup serius, antara lain:

  • Akses file konfigurasi penting (database, API key, dll).
  • Pencurian data sensitif kayak username, password, atau token.
  • Jalan masuk buat serangan lebih lanjut, misalnya Remote Code Execution (RCE).

Cara Mencegah LFI

Buat yang lagi belajar keamanan web, tahu LFI aja tidak cukup. Perlu juga kamu tahu cara mencegahnya. Beberapa langkah dasar antara lain:

  • Validasi input: jangan langsung percaya data dari user.
  • Gunakan whitelist: cuma izinkan file tertentu yang boleh di-load aplikasi.
  • Sandbox: jalankan web app di lingkungan terisolasi biar serangan nggak nyebar.
  • Monitoring rutin: audit dan cek log server secara berkala.

Kesimpulan

Dari penjelasan di atas, bisa disimpulkan kalau Local File Inclusion - LFI adalah celah berbahaya yang memungkinkan attacker membaca atau bahkan mengeksekusi file lokal dari server target. Dampaknya mulai dari bocornya data rahasia sampai kontrol penuh server.

Solusinya? Developer harus rajin ngecek aplikasi, pastiin validasi input jalan, dan batasi akses file. Dengan begitu, risiko serangan LFI bisa ditekan sejak awal.

Tags:
أحدث أقدم