ファイルインクルード(File Inclusion vulnerability)
読み方:ファイルインクルード(ファイルインクルージョンヴァルネラビリティ)
ファイルインクルードとは
ファイルインクルード(File inclusion vulnerability)とは、Webアプリケーション(以下、Webアプリ)が外部ファイルを参照(include)する際、ウィルスチェックをはじめとしたファイル精査について想定していないという脆弱性です。この脆弱性が存在し、攻撃者が何らかの方法でWebアプリの参照ファイル指定を書き換えると、情報の窃取や改ざんといった被害に遭うおそれがあります。外部ファイルを参照する仕様自体を避ける、参照するファイルの場所(どこの端末に保存されているファイルか)を制限するといった対策が効果的です。ファイルインクルードは参照ファイルの指定先で2種類に分けられます。
ファイルインクルードの種類
- リモートファイルインクルード(Remote File Inclusion、RFI )
Webアプリが存在するWebサーバ外に用意した不正なファイルを指定する方法を、リモートファイルインクルードと呼びます。攻撃者は不正なファイルを読み込ませることで不正にWebサーバを操作します。
- ローカルファイルインクルード (Local File Inclusion、LFI)
Webアプリが存在するWebサーバ内の非公開ファイルを指定する方法を、ローカルファイルインクルードと呼びます。攻撃者は非公開ファイルに不正アクセスします。