Kali ini saya akan cerita tentang teknik hacking. Saya menggunakan komputer saya sendiri sebagai contoh, agar tidak menimbulkan dampak di pihak lain.
Local File Inclusion, biasa terjadi pada web yang menggunakan teknik include, dengan masukan include ditentukan dari GET query string parameter. Contoh
$page = isset($_GET['page'])?$page=$_GET['page']:$page='home.php' ; if(file_exists($page)){ include $page; }else{ echo "Sorry the content does not exist"; }
Code tersebut akan diakses dengan menggunakan URL : http://namasitus.tld/index.php?page=halaman.php. Jika parameter query string page pada URL tersebut kosong, maka akan diisi otomatis dengan home.php
Konsep pengambilan halaman dengan metode inklusi dengan masukan dari parameter GET, ternyata memiliki risiko. Berikut dongeng risiko LFI di bawah.