# 03. 외부 URL 파일 인클루드 비활성화

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/XBeNcs5oXTAFzFbQ-image.png)

<p class="callout info">설명</p>

**개발언어는 보통 다른 파일들을 불러와 사용할 수 있다. 파이썬의 import 혹은 php의 include 등등...**

**외부에서 만들어 놓은 php 파일을 URL에 삽입하였을때 별다른 제한 없이 실행이 될 경우 치명적인 공격이 가능하기 때문에**

**해당 설정을 Off 로 바꿔주어야한다.**

<p class="callout info">딴소리</p>

**관련된 취약점으로는 LFI 와 RFI 가 있다. (현재 취약점의 경우 RFI 가 해당)**

**LFI = Local File Inclusion**

**RFI = Remote File Inclusion**

**LFI, RFI 의 차이는 Local, Remote 그러니까 로컬에 있는 파일을 불러올지, 외부 파일을 불러올지의 차이라고 볼 수 있겠다.**

**RFI의 경우 외부 공격자 서버의 php 파일, ex. 'http://attacker.com/attack.php" 를 피해자 URL 파라미터에 삽입하여 실행을 시키도록 한다는건데**

**뭔가 시연해보고 싶으니까 별도로 서버를 구현해봐야겠다.**

<p class="callout info">기본 값</p>

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/799WUuj6iF7liYBQ-image.png)

**기본 값으로는 활성화가 되어 있음 -&gt; 취약**

<p class="callout warning">조치 방법</p>

**01. php config 파일로 접근**

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/V2r18iFGQ3ibjXSG-image.png)

**02. allow\_url\_fopen 을 검색 후 Off 로 수정**

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/RjTGv4Z7n0ymxONO-image.png)