Local File Inclusion (LFI)
Local File Inclusion (LFI) è una vulnerabilità di sicurezza informatica dove un’applicazione web consente ad un attaccante di includere file locali sensibili all’interno di una pagina web visualizzata dall’utente. Ciò può consentire all’attaccante di visualizzare informazioni riservate come password, informazioni sull’utente e altre informazioni riservate.
Per capire meglio LFI, immagina di essere in un negozio di dolci e che tu possa guardare attraverso una finestra nella cucina del negozio e vedere le ricette segrete dei dolci. Questo è similarmente ciò che LFI permette - di vedere le informazioni ‘segrete’ di un’applicazione web.
LFI può essere sfruttato da un attaccante che conosce la struttura di un’applicazione web e sa come manipolare l’URL. Per prevenire LFI, gli sviluppatori di applicazioni web devono utilizzare metodi di input validation per verificare l’input dell’utente prima di includere file locali.