文件包含漏洞
文件包含(file inclusion)漏洞,当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用任意文件,造成文件包含漏洞。
文件包含分类
文件包含是PHP 的基本功能之一,分为如下两类:
本地文件包含LFI(local file inclusion):当被包含的文件在服务器本地时,可以通过文件路径(相对或绝对)加载(读取和打开)文件,就形成本地文件包含。
远程文件包含RFI(remote file inclusion):当被包含的文件在第三方服务器时,我们可以通过http(s)、PHP伪协议或ftp等方式,远程加载文件,叫做远程文件包含。
两种文件包含的方式涉及php.ini中如下两个参数:
allow_url_fopen=On/Off
默认值是On
是否允许将url(如http://或ftp://)作为文件处理
很多人都说该值为On时,才允许包含本地文件,而实际上无论该选项为On还是Off,均可以包含本地文件。
allow_url_include=On/Off
默认值是Off