İlk önce bizim yapmamız gereken medium levelinin neye göre medium olduğudur. Yani güvenlik önlemleri nelerdir. Medium levelin güvenlik kodlarına bakmadan önce low levelin güvenlik kodlarını bilmektir.
Low levelin güvenlik önlemi olmadığı için yani low leveldeki kodlara bakacak olursanız açığı açıklamıştık . Medium seviyesine geçtiğimizde iste bu güvenlik zafiyetinin bir önlemi alınmış olacaktır . Aynı şekilde High seviyesine geçtiğimiz zaman ise medium daki güvenlik zafiyetide onarılmış olacaktır ki bu durumda bizimde high seviyesinde saldırı yapmamız engellenmiş olacaktır
File inclusion low levelden medium levele geçişte bakılacak olursa güvenlik duvarımız oluşmuş durumdadır. Bu güvenliği geçmemiz için ilk önce güvenliğin ne olduğunu bilmemiz gerekiyor. Bunun için kodumuza bakalım.
Gördüğünüz gibi http ve https içeren bir yazı girdiğimiz zaman direk silineceğini yani hata vereceğini gösteriyor . Gelin deneyelim .
Local File Inclusion (LFI)
Gördüğünüz gibi hatalarımızı aldık . Gelin biz yine low levelde anlattığımız şekilde zafiyetimizi deneyelim . Çünkü bir güvenlik duvarı konulmadığı için bir önceki leveldeki gibi zafiyetimizi gerçekleştirebileceğiz.
Böylece Local File Inclusion saldırısını gerçekleştirmiş oluruz . Edinilen kullanıcı bilgileri bir önceki anlattığımız konu olan Brute Force saldırılarında kullanılabilir ve böylelikle hedef web sitesine sızılabilir.
Remote File Inclusion (RFI)
RFI saldırısı LFI saldırısına benzerdir. Aynı güvenlik zafiyeti kullanılır. Fakat remote file inclusion da local file inclusion a kıyasla yaptığımız şey kendi bilgisayarımızdaki bir dosyayı entegre etmektir. Fakat bu dosyayı entegre etme ve yazdırma kısmı “siteniz hacklendi” şeklinde metin belgesine veya php dosyasına gireceğimiz kodları yansıtmak olacaktır.