标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2023-3364]   作者: 影 发表于: [2023-11-17]

本文共 [6] 位读者顶过

1 概要

  PHP 等脚本语言能够从外部文件读取脚本源代码的一部分。PHP 中对应的函数有require、require_once、include、include_once。如果外界能够指定 include 的对象文件名,就可能会发生意料之外的文件被 include 而遭到攻击。这被称为文件包含漏洞 。某些情况下,PHP 中还可以通过配置来指定外部服务器的URL 作为文件名,这就被称为远程文件包含(RFI)。

[出自:jiwo.org]

2 影响

(1)web服务器的文件被外界浏览而导致信息泄露。


(2)脚本被任意执行所造成的影响。典型的影响如下


             篡改网站


             执行非法操作


             攻击其它网站


3 安全隐患产生原因

  当应用满足以下两个条件时,就会产生文件包含漏洞。


(1)include 的文件名能够由外界指定


(2)没有校验 include 的文件名是否妥当


4 对策

(1)避免由外界指定文件名


(2)避免文件名中包含目录名


(3)限制文件名仅包含字母和数字

评论

暂无
发表评论
 返回顶部 
热度(6)
 关注微信