Local File Inclusion (LFI) adalah salah satu celah keamanan web yang sering dimanfaatkan hacker untuk membaca atau mengeksekusi file di server. Meski terdengar teknis, konsepnya sebenarnya sederhana, aplikasi web salah memproses input, lalu membuka akses ke file yang seharusnya tidak boleh diakses.
Apa Itu Local File Inclusion?
Local File Inclusion (LFI) adalah kerentanan yang terjadi ketika aplikasi web mengizinkan pengguna memasukkan nama file ke dalam parameter, lalu server memprosesnya tanpa filter yang tepat. Akibatnya, penyerang bisa menyusupkan path file sensitif.
Contoh sederhananya:
<?php
$page = $_GET['page'];
include($page);
?>
Jika developer tidak memfilter input, penyerang bisa memanggil URL seperti:
http://target.com/index.php?page=/etc/passwd
Hasilnya? Server menampilkan isi file /etc/passwd yang seharusnya bersifat privat.
Cara Kerja Local File Inclusion
Untuk memahami LFI, bayangkan aplikasi web seperti rumah dengan banyak pintu. Normalnya, tamu hanya boleh lewat pintu depan. Tapi, karena ada celah, pintu samping ikut terbuka.
Secara teknis, LFI bekerja lewat:
- Input tidak difilter – aplikasi langsung percaya input dari user.
- Penggunaan fungsi file – seperti
include(),require(), ataufile_get_contents()di PHP. - Path traversal – penyerang menambahkan
../agar bisa menjelajah direktori.
Contoh serangan:
http://target.com/index.php?page=../../../../etc/passwd
Dengan ../, hacker bisa mundur dari folder web lalu masuk ke direktori sistem.
Dampak Local File Inclusion
Dampak LFI bisa bervariasi, tergantung bagaimana server dan aplikasi diatur. Beberapa risiko paling umum:
1. Kebocoran Data Sensitif
File konfigurasi, credential database, hingga log server bisa terbuka. Ini sering jadi langkah awal untuk serangan lanjutan.
2. Remote Code Execution (RCE)
Jika penyerang menemukan file upload yang bisa diakses lewat LFI, mereka bisa mengeksekusi script berbahaya (misalnya shell PHP). Dari sinilah kontrol server bisa diambil alih.
3. Reconnaissance (Pengintaian Sistem)
Dengan membaca file sistem, penyerang bisa memetakan struktur server, versi software, dan mencari celah lain yang lebih besar.
4. Ancaman Lanjutan
Jika LFI tidak segera ditangani, bukan hanya kebocoran data yang terjadi, tapi juga potensi ransomware, defacement, hingga pencurian identitas.
Perbedaan Local File Inclusion dan Remote File Inclusion
Banyak orang sering mencampur LFI dengan RFI (Remote File Inclusion). Bedanya:
- LFI (Local File Inclusion): file yang dimasukkan berasal dari server lokal itu sendiri.
- RFI (Remote File Inclusion): penyerang bisa menyertakan file dari server eksternal, misalnya script berbahaya dari domain lain.
Keduanya sama-sama berbahaya, tapi LFI lebih sering ditemukan karena biasanya server modern sudah mematikan allow_url_include (yang diperlukan untuk RFI).
Contoh Kasus Nyata Local File Inclusion
Banyak laporan bug bounty yang membuktikan LFI masih sering ditemukan, bahkan di perusahaan besar.
Misalnya, ada laporan bug bounty di platform HackerOne di mana penyerang berhasil membaca file wp-config.php di WordPress lewat parameter yang tidak difilter. File itu berisi username dan password database, yang bisa membuka jalan ke kompromi total website.
Ini menunjukkan bahwa meski terlihat sepele, LFI bisa menjadi pintu masuk ke website.
Cara Mencegah Local File Inclusion
Dari sisi developer maupun sysadmin, ada beberapa langkah pencegahan penting:
1. Validasi dan Filter Input
- Gunakan whitelist (daftar file yang boleh dipanggil).
- Jangan pernah langsung percaya input dari user.
Contoh aman:
<?php
$allowed_pages = ['home.php', 'about.php', 'contact.php'];
$page = $_GET['page'];
if (in_array($page, $allowed_pages)) {
include($page);
} else {
echo "Page not found.";
}
?>
2. Nonaktifkan Fungsi Berbahaya
Jika tidak perlu, matikan fungsi PHP seperti include(), require(), atau allow_url_include.
3. Atur Hak Akses File
Jangan biarkan web server punya akses ke seluruh sistem. Gunakan prinsip least privilege.
4. Gunakan Web Application Firewall (WAF)
WAF bisa mendeteksi pola serangan path traversal (../) dan memblokir request mencurigakan.
5. Lakukan Penetration Testing
Rutin uji keamanan dengan tools seperti Burp Suite, OWASP ZAP, atau sekadar manual testing.
Local File Inclusion adalah celah klasik tapi masih sering ditemukan. Cara kerjanya sederhana: aplikasi salah memproses input lalu membuka akses ke file internal. Dampaknya bisa sangat serius, mulai dari bocornya data sensitif hingga eksekusi kode berbahaya.
Bagi developer, kuncinya ada di validasi input dan konfigurasi server yang aman. Bagi mahasiswa atau praktisi cybersecurity, LFI adalah contoh nyata betapa kesalahan kecil bisa membuka pintu besar bagi serangan yang lebih besar.
Singkatnya, jangan pernah meremehkan bugs kecil seperti Local File Inclusion, karena dari sanalah banyak serangan besar dimulai.
Sebagai penutup, jika Anda ingin bisnis Anda lebih dikenal dan muncul di halaman pertama Google, Jasa SEO Terpercaya Optimaise siap membantu! Dengan pengalaman dan strategi SEO yang teruji, kami telah berhasil meningkatkan visibilitas banyak bisnis di Malang, Bali, dan Jakarta. Jangan biarkan pesaing Anda selangkah lebih maju—optimalkan website Anda sekarang juga!
💡 Dapatkan strategi SEO terbaik untuk bisnis Anda! Kunjungi optimaise.co.id dan berlangganan layanan kami untuk hasil yang maksimal. 🚀
