文件包含漏洞原理?如何防御文件包含漏洞

最新推荐文章于 2024-03-23 22:47:11 发布
最新推荐文章于 2024-03-23 22:47:11 发布
阅读量1.6k 收藏 5
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DXfighting_/article/details/124173383
版权

原理:服务器解析执行php文件时能够通过包含函数加载另外一个文件中的php代码,当被包含的文件中存在木马时,也就意味着木马程序会在服务器上加载执行。

防御:

①严格判断包含中的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制;

②路径限制:限制被包含的文件只能在某一文件内,一定要禁止目录跳转字符,如:“../”;

③包含文件验证:验证被包含的文件是否是白名单中的一员;

④尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include('head.php')。

本地文件包含漏洞涉及的函数有哪些?

include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。

include_once:和 include 类似,不同处在于 include_once 会检查这个文件是否已经被导入,如果已导入,下文便不会再导入,直面 once 理解就是只导入一次。

require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。

require_once:和 require 类似,不同处在于 require_once 只导入一次。

DXfighting_
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
08_理论8_文件包含漏洞原理与实践_20180921
02-10
08_理论8_文件包含漏洞原理与实践_20180921
文件包含漏洞利用与防御
FisrtBqy的博客
04-01 1848
文件包含1 什么是文件包含漏洞1.1 按照原因分类1.1.1 内容包含1.1.2 函数的包含1.2 按照包含方式分类1.2.1 本地1.2.2 远程2 PHP相关函数和伪协议3 DVWA靶场实践3.1 Low级3.2 Medium级3.3 High级3.4 Impossible级4 挖掘与利用4.1 URL关键字4.2 LFISuite4.3 常见敏感路径5 修复方案 1 什么是文件包含漏洞 由于网页包含其他文件而引发的漏洞 1.1 按照原因分类 1.1.1 内
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 3679
文件包含漏洞详解
文件包含漏洞防御
最新发布
2301_76717406的博客
03-23 1169
出现的问题:可能会导致允许访问敏感文件或者执行恶意代 码,造成漏洞;这就被称为文件包含漏洞文件包含漏洞是一种常见的Web应用程序漏洞,允许恶意用户通过在URL或表单字段中注入恶意代码来访问和执行服务器上的文件。这种漏洞通常出现在PHP等动态网页语言中,当应用程序使用用户提供的输入直接包含文件时容易发生。攻击者利用文件包含漏洞可以执行各种恶意操作,比如读取敏感文件、执行系统命令、获取数据库信息等。
文件包含漏洞】——文件包含漏洞防御
weixin_45588247的博客
08-05 3777
文章目录一、实验目的:二、实验环境:三、防御说明:四、防御措施:1. 设置白名单:2. 过滤危险字符:3. 设置文件目录(配置php.ini):4. 关闭危险配置(配置php.ini):五、防御总结: 一、实验目的: 1、通过本次学习,掌握文件包含的过滤验证方式。 2、学习在修复文件包含漏洞的方法。 二、实验环境: 靶 机: windows10虚拟机:192.168.100.150       phpstudy2018_Apache集成环境 三、防御说明: 文件包含漏洞防御
文件包含漏洞学习(一)
m0_74057302的博客
03-13 881
事缓则圆 太过着急就会降低标准 希望大家都能找到自己的满分答案。
文件包含漏洞
syy
05-01 5821
目录 一、文件包含漏洞概述 二、文件包含漏洞类型 三、常用的防御方式 四、常用的绕过方式 一、文件包含漏洞概述 1.什么是文件包含 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 2.文件包含漏洞产生原理 文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量来进行动态调用,但正是
Web应用安全:文件包含漏洞简介.pptx
06-18
1、什么是文件包含漏洞? 开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。 为了使代码更加灵活,通常会将被包含的文件...
ASP的chr(0)文件上传漏洞原理和解决方法介绍
01-02
为了防止用户上传木马程序,常常会限制一些文件的上传,常用的方法是判断一下上传文件的扩展名是否符合规定,可以用right字符串函数取出上传文件的文件名的后四位,这样很容易就能判断了,但是这里面有一个漏洞,...
Apache-Tomcat从文件包含到RCE漏洞原理深入分析1
08-03
漏洞简介2020年02月20日,于CNVD公开的漏洞公告中发现Apache Tomcat文件包含漏洞(CVE-2020-1938)。Apache Tomcat为
文件包含知识点总结.pdf
02-10
根据网上视频课程学习总计知识点,文档结构分为文件包含的定义、php中文件包含函数、漏洞原理及特点、常见的利用方式做出总结 整理为文档 可以方便查阅
文件包含漏洞全解
2301_78287784的博客
06-15 831
以上就是文件包含漏洞所有的内容,通过以上的介绍,我们可以看出文件包含漏洞利用难度,也可以根据他的原理提出修复建议:1、可以限制用户访问文件的权限;2、include函数中的参数用户是否可控,如果可控,则要限制;3、增加过滤,对用户输入的敏感参数进行过滤;4、配置文件中不必要开的参数设置为OFF等等,希望本文能对你有所帮助,星光安全面向基础。
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 5万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
网络安全-文件包含漏洞原理、攻击及防御
关注网络安全、云原生安全
08-14 5471
目录 简介 类型 原理 攻击 防御 简介 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 类型 根据不同的配置环境,文件包含漏洞分为如下两种情况:1.本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。2.远程文件
文件包含漏洞利用和防御
qq_45455136的博客
10-26 1367
文件包含漏洞利用和防御 文件包含漏洞 PHP相关函数 PHP伪协议 文件包含漏洞 使用函数包含指定文件的代码,没对函数的参数进行过滤,可被用户控制包含恶意文件并执行代码 漏洞分类 本地文件包含:目录遍历、任意文件读取、包含日志文件getshell、图片马getshell、伪协议读取文件/命令执行、包含phpinfo上传的临时文件 远程文件包含:远程木马getshell(需要allow_url_fopen和allow_url_include都是on)
文件包含漏洞总结都在这里了
yuanxu8877的博客
10-20 2914
文件包含漏洞总结,全在这里了
简述文件包含漏洞原理
06-13
文件包含漏洞原理是Web应用程序在调用其他文件时没有进行充分的过滤和检查,导致攻击者可以通过构造恶意的参数来访问非授权的文件,并执行其中的代码。常见的文件包含漏洞有两种类型:本地文件包含和远程文件包含。本地文件包含漏洞是指攻击者通过构造恶意的参数,访问服务器上已经存在的本地文件,并执行其中的代码。远程文件包含漏洞是指攻击者通过构造恶意的参数,访问远程服务器上的文件,并将其中的代码包含到应用程序中执行。 攻击者可以利用文件包含漏洞来执行各种恶意操作,如读取或者修改敏感数据、执行系统命令、获取服务器的控制权等。因此,文件包含漏洞是一种非常危险的网络安全漏洞。为了防止文件包含漏洞,应用程序需要对所有输入参数进行严格的检查和限制,禁止包含外部文件,并对所有用户输入的数据进行过滤和转义,从而消除恶意代码的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值