Anmelden Registrieren
EN

Local File Inclusion überprüfen

Crashtest Security Suite ist eine automatisierte Cybersicherheitssoftware, die Ihre Webseiten auf Schwachstellen bei der Einbindung lokaler Dateien und andere Probleme bei der Einbindung von Dateien (RFI) überprüft.

LFI Scanner nutzen
14-tägige gratis Testversion. Keine Kreditkarte erforderlich.
  • Suche nach LFI- und RFI-Schwachstellen und allen in den OWASP Top Ten
  • Unterstützung für Multi-Page- und Single-Page-Anwendungen (SPAs), APIs, JavaScript-Frameworks und mehr
  • Erhalten Sie Sicherheitsberichte und Ratschläge zur Abhilfe für jede gefundene Schwachstelle
  • Automatisierte Online SaaS LFI-Tests
Hirmer
Alltron
Flixbus
Instana
Ottonova
Atoss
Acrolinx
Netfonds

Funktionen

LFI Scanner Funktionen

Obwohl Schwachstellen, die lokale Dateien einschließen, normalerweise leicht zu beheben sind, kann es ohne die richtigen Tools schwierig sein, sie in großen Codebasen zu entdecken.

Mit unserem Blackbox-Penetrationstest-Tool können Sie jede mögliche Schwachstelle in Ihrer Webanwendung aufdecken.

Crashtest Security arbeitet mit keinerlei Informationen über Ihr System, genau wie ein Hacker es tun würde. Dennoch haben Sie in diesem Fall die Möglichkeit, Geld und Zeit für die Durchführung manueller Sicherheitstests zu sparen.

14-tägige gratis Testversion starten

Zeitlich Planen

Einen geplanten Scan erstellen

1

Konfiguration

Konfigurieren Sie Anmeldeinformationen (System und Anwendung)

2

CI-Integration

Erstellen eines Webhooks und Starten eines Scans über die CI-Integration

3

Benachrichtigungen erstellen

Chat-Benachrichtigung einbinden (z. B. Slack, Mattermost, Hangouts, und viele andere)

4

Berichte herunterladen

Erhalten Sie ausführliche Berichte mit Empfehlungen zur Problembehebung

5

Nutzen

Vorteile des LFI Testing Tools

  • Geben Sie Schwachstellenberichte an Ihr Team weiter – im PDF-, XML/JSON- oder CSV-Format.
  • OWASP Top 10 Schwachstellen-Scanner – Identifiziert mögliche Angriffsvektoren in Ihrer Webanwendung, API oder Microservices.
  • Konstante Transparenz – Genießen Sie unser Echtzeit-Reporting über alle Webanwendungsimplementierungen – top line oder in die Tiefe gehend.
  • Hochwertige Tests – HTML-basierte Webanwendungen, JavaScript, AJAX, HTML5, mehrseitige und einseitige Anwendungen und APIs.
  • DSGVO-Konformität – Stellen Sie sicher, dass jede Version auf dem neuesten Stand der PII-bezogenen Schwachstellenprüfung ist.

Reports

Ausführlicher Inklusionsbericht lokaler Daten

Bericht holen

Schwachstellenübersicht

Der LFI-Bericht beginnt mit einer Übersicht über die in Ihrem Scan-Ziel gefundenen Datenschutzverletzungen, einschließlich ihres Ausmaßes und ihrer Folgen. Er enthält eine Zusammenfassung aller Angriffsvektoren für die lokale Dateieinbindung sowie zusätzliche Sicherheitsinformationen.

Beratung zur Mängelbehebung

Vorschläge für Abhilfemaßnahmen: Jede Gefährdung wird von einer Risikobewertung, einer Beschreibung und einer Schritt-für-Schritt-Anleitung zur Behebung des Problems begleitet.

Kontinuierliche Sicherheit

Weitere Gründe für kontinuierliche LFI-Tests

Automatisiertes Pentesting

Führen Sie regelmäßig Black-Box Pentests für Ihre Web-Assets durch und sparen Sie sich die Kosten für unregelmäßige manuelle Penetrationstests.

Cybersecurity-Risikos verringern

Vergleichen Sie Ihre geplante Version mit den OWASP Top 10 und anderen bekannten Sicherheitslücken.

Scans terminieren

Passen Sie das Scannen von Sicherheitslücken an Ihren agilen Entwicklungszyklus an.

Konformität gewährleisten

Scannen Sie jede neue Version vor der Einführung und stellen Sie die Einhaltung von Vorschriften und Standards (HIPAA, GDPR, ISO und viele mehr) sicher.

Sicherheitslücken schneller erkennen

Erkennen und entschärfen Sie Schwachstellen schneller, indem Sie Ihre Web-Assets regelmäßig scannen.

Integrierte Entwicklungspipeline

Integrieren Sie Schwachstellen-Scans in Ihre Entwicklungsprozesse und -umgebung und verlagern Sie die Sicherheit nach links.

Was ist ein LFI-Schwachstellen-Scanner?

Der LFI-Scanner bewertet die Sicherheit Ihrer Webanwendung und spart dabei Zeit für die Entwickler und Zeit für das Unternehmen.

Wir bieten eine unkomplizierte Cybersicherheitsstrategie:

  • Aufgrund des geringeren Zeitaufwands für die Testvorbereitung und der schnellen Korrekturhinweise im Scan-Bericht sparen die Entwickler rund 100 Stunden pro Jahr.
  • Sie sparen im Durchschnitt 40 % der Testausgaben und erhalten eine kontinuierliche Transparenz der Sicherheitslage, während Sie gleichzeitig Ihr Risiko, gehackt zu werden, senken.

Note: Sie müssen Eigentümer der Website sein und über gültige Administratorrechte verfügen, um nach Schwachstellen bei der lokalen Dateieinbindung zu suchen. Da das LFI-Tool verschiedene HTTP-Anfragen erzeugen kann, die als Angriffe erkannt werden könnten (selbst wenn sie völlig sicher sind), benötigen Sie die entsprechende Berechtigung, um dieses Tool auszuführen.

Wie funktioniert der Local File Inclusion Scanner?

Der Scanner für die lokale Dateieinbindung verwendet einzigartige Nutzdaten, um lokale oder entfernte Dateien in die Webanwendung einzubinden. Wenn eine Website eine Dateieinschluss-Schwachstelle aufweist, kann ein Angreifer sensible Dateien wie PHP-Skripte lesen oder sogar beliebige Befehle auf dem Webserver ausführen.

Wie erkenne ich eine LFI Schwachstelle?

Einrichten und Scannen in weniger als 2 Minuten.

  • Finden Sie die einfachste Einrichtung auf dem Markt heraus.. Mit nur einem Knopfdruck können Sie feststellen, ob Sie für die LFI-Schwachstelle anfällig sind. Crashtest Security Suite prüft Ihre Webanwendung in weniger als zwei Minuten und erstellt einen Bericht mit allen gefundenen Fehlern.
  • Ein fantastischer Kundendienst für technische Cybersicherheit.. Wir gehen Ihren LFI-Test noch einmal durch, um sicherzustellen, dass Sie unsere Schwachstellen-Software korrekt implementieren.
  • Geringere Kosten für die Behebung von Schwachstellen Anstatt einen Sicherheitspatch für einen vor sechs Monaten geschriebenen Code zu schreiben, werden Sie jetzt vor der Bereitstellung über eine Schwachstelle informiert: keine Hot-Fixing-Maßnahmen mehr in Produktionsumgebungen.
FAQ

Inklusion lokaler Daten

Was ist File Inclusion?

PHP File Inclusion ist ein Sicherheitsproblem bei Webanwendungen, das es unbefugten Benutzern ermöglicht, auf Dateien zuzugreifen, Downloads durchzuführen, nach Informationen zu suchen usw. Wie von OWASP beschrieben, ermöglicht es einem Angreifer, eine Datei einzuschließen, indem er die „Dynamic File Inclusion“-Techniken der Zielanwendung angreift. Die Schwachstelle entsteht durch die Verwendung von vom Benutzer eingegebenen Daten, die nicht ordnungsgemäß validiert wurden.

Fehler bei der Dateieinbindung sind eine einmalige Gelegenheit für Hacker. Zwar gibt es verschiedene Schutzverfahren, um solche Fehler zu beheben, aber ein einziger positiver Vorgang kann Ihre geschäftskritischen Daten gefährden und Ihr Unternehmen in Gefahr bringen.

Was ist local file inclusion?

Local File Inclusion (LFI) ist eine Webbrowser-Option, die es einem Angreifer ermöglicht, Dateien auf einem Server einzuschließen. Wenn eine Webanwendung eine Datei enthält, bevor die Eingabe korrekt gefiltert wurde, tritt diese Schwachstelle auf und ermöglicht es einem Angreifer, die Eingabe zu ändern, Sprungzeichen aus der Route einzufügen und andere Dateien vom Webserver bereitzustellen. Sie betrifft in der Regel PHP-Anwendungen.

Welche Risiken birgt die Sicherheitslücke „Local File Inclusion“?

LFI ist schädlich, insbesondere wenn sie mit zusätzlichen Problemen kombiniert wird, z. B. mit der Möglichkeit eines Angreifers, bösartige Dateien auf den Server zu übertragen. Selbst wenn der Angreifer keine Dateien hochladen kann, kann er die Kontrolle über den gesamten Server übernehmen oder auf vertrauliche Informationen zugreifen, indem er die LFI-Schwachstelle mit einem Directory Traversal-Fehler kombiniert. Die Folgen könnten auch die Offenlegung von Informationen oder die Ausführung von Remote-Code sein.

Wie kann man Sicherheitslücken durch lokale Dateieinbindung verhindern?

Das Hinzufügen von Dateien auf der Grundlage von Benutzereingaben zu verhindern, ist ein guter Weg, um Schwachstellen durch lokale Dateieinbindung (LFI) zu verhindern. Wenn dies jedoch nicht möglich ist, sollte die Anwendung ein Verzeichnis der Dateien führen, die eingeschlossen werden könnten, um die Möglichkeiten des Cyberangreifers einzuschränken, zu kontrollieren, was eingeschlossen wird.