文件包含漏洞原理?如何防御文件包含漏洞

最新推荐文章于 2024-08-07 10:58:17 发布
最新推荐文章于 2024-08-07 10:58:17 发布
阅读量1.7k 收藏 5
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DXfighting_/article/details/124173383
版权
本文探讨了PHP服务器中的文件包含漏洞原理,重点介绍了如何通过严格参数检查、路径限制、文件验证和避免动态包含来增强防护。讲解了include、include_once、require和require_once等函数潜在风险,并给出了实用的防御措施。
摘要由CSDN通过智能技术生成

原理:服务器解析执行php文件时能够通过包含函数加载另外一个文件中的php代码,当被包含的文件中存在木马时,也就意味着木马程序会在服务器上加载执行。

防御:

①严格判断包含中的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制;

②路径限制:限制被包含的文件只能在某一文件内,一定要禁止目录跳转字符,如:“../”;

③包含文件验证:验证被包含的文件是否是白名单中的一员;

④尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include('head.php')。

本地文件包含漏洞涉及的函数有哪些?

include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。

include_once:和 include 类似,不同处在于 include_once 会检查这个文件是否已经被导入,如果已导入,下文便不会再导入,直面 once 理解就是只导入一次。

require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。

require_once:和 require 类似,不同处在于 require_once 只导入一次。

DXfighting_
关注
文件包含漏洞
weixin_43778463的博客
09-23 955
文件包含
文件包含漏洞——原理漏洞防御
cldimd的博客
03-20 7879
1、文件包含漏洞原理原理: 在通过PHP的相应函数(比如include())引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入 文件包含漏洞的形成,需要满足两个条件: 1、 include()等函数通过动态变量的方式引入需要包含的文件。 2、用...
文件包含漏洞利用与防御
FisrtBqy的博客
04-01 1977
文件包含1 什么是文件包含漏洞1.1 按照原因分类1.1.1 内容包含1.1.2 函数的包含1.2 按照包含方式分类1.2.1 本地1.2.2 远程2 PHP相关函数和伪协议3 DVWA靶场实践3.1 Low级3.2 Medium级3.3 High级3.4 Impossible级4 挖掘与利用4.1 URL关键字4.2 LFISuite4.3 常见敏感路径5 修复方案 1 什么是文件包含漏洞 由于网页包含其他文件而引发的漏洞 1.1 按照原因分类 1.1.1 内
文件包含漏洞全面详解
最新发布
weixin_42340783的博客
08-07 1332
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
文件包含漏洞】——文件包含漏洞防御
weixin_45588247的博客
08-05 4447
文章目录一、实验目的:二、实验环境:三、防御说明:四、防御措施:1. 设置白名单:2. 过滤危险字符:3. 设置文件目录(配置php.ini):4. 关闭危险配置(配置php.ini):五、防御总结: 一、实验目的: 1、通过本次学习,掌握文件包含的过滤验证方式。 2、学习在修复文件包含漏洞的方法。 二、实验环境: 靶 机: windows10虚拟机:192.168.100.150       phpstudy2018_Apache集成环境 三、防御说明: 文件包含漏洞防御
文件包含漏洞防御
2301_76717406的博客
03-23 2187
出现的问题:可能会导致允许访问敏感文件或者执行恶意代 码,造成漏洞;这就被称为文件包含漏洞文件包含漏洞是一种常见的Web应用程序漏洞,允许恶意用户通过在URL或表单字段中注入恶意代码来访问和执行服务器上的文件。这种漏洞通常出现在PHP等动态网页语言中,当应用程序使用用户提供的输入直接包含文件时容易发生。攻击者利用文件包含漏洞可以执行各种恶意操作,比如读取敏感文件、执行系统命令、获取数据库信息等。
08_理论8_文件包含漏洞原理与实践_20180921
02-10
### 文件包含漏洞原理与实践 #### 一、文件包含漏洞概述 文件包含漏洞是一种常见的Web应用程序安全漏洞,尤其在使用PHP语言开发的应用程序中较为普遍。这种漏洞允许攻击者通过控制程序中用于指定要包含文件的...
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
在本次实验中,我们了解了文件包含漏洞原理和攻击步骤,并了解了防御文件包含漏洞的措施。我们也了解到了文件包含漏洞的危害,并了解到了攻击者可以通过文件包含漏洞来获取服务器的控制权。 文件包含漏洞是 web ...
文件包含漏洞原理防御
06-17
文件包含漏洞(File Inclusion Vulnerability)是Web应用程序中常见的安全漏洞,它发生在程序尝试动态加载外部文件(如配置文件、数据库连接信息等)时,如果对输入的控制不当,恶意用户可以通过提供特定的URL参数或...
url 本地文件_Web安全:文件包含漏洞
weixin_39940901的博客
12-11 312
一次性付费进群,长期免费索取资料。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network文件包含漏洞可以归为两类:本地文件包含漏洞及远程文件包含漏洞。攻击者利用文件包含漏洞可以获取服务器代码及敏感文件(如数据库连接文件、配置文件、日志文件)等。文件包含漏洞一般利用...
文件包含漏洞攻防
Chenamao的博客
08-05 999
目录 文件包含 PHP中的文件包含语句: 漏洞原理及特点 文件包含漏洞攻防 文件包含漏洞利用 读取敏感文件 直接包含图片木马 PHP封装协议 *读取本地文件: *读取PHP文件源码 利用php://input执行PHP命令 漏洞修复方案 文件包含 名词解释:程序开发人员通常会把可重复使用的函数或语句写到单个文件中,在使用某个功能的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以会把被包含的文件的路径设置为变量,来进行动.
7-3文件包含漏洞防范措施
山兔的博客
06-04 415
文件包含漏洞之文件上传漏洞的利用 文件包含漏洞常见防范措施思路: 1,制作一个图片木马,通过文件上传漏洞上传; 2,通过文件包含漏洞对该图片木马进行“包含”; 3,获取执行结果;有时候,当发现本地文件包含漏洞,这个时候,我们仅仅只是能够通过它去读一些本地的文件,然后,你又没有办法利用它,去进行更深层次的利用,这个时候,我们刚好在网站上,发现文件上传漏洞,同时这个文件包含漏洞,当个来看的话,比较鸡肋,比如说,它做了很严格的限制,仅仅只是允许上传一些图片,之所以说是漏洞,因为它对图片的校验不是很严格,也就
文件包含漏洞之——防御措施
wsnbbz的博客
03-04 3861
设置白名单 代码在进行文件包含时,如果文件名可以确定,可以设置白名单对传入的参数进行比较。 过滤危险字符 由于Include/Require可以对PHP Wrapper形式的地址进行包含执行(需要配置php.ini),在Linux环境中可以通过”…/…/”的形式进行目录绕过,所以需要判断文件名称是否为合法的PHP文件。 设置文件目录(配置php.ini) PHP配置文件中有open_basedir...
Web安全之文件包含漏洞防御
DoubleJing的博客
07-14 284
文件包含漏洞防御 将参数allow_url_fopen和allow_url_fopen设置为off PHP中使用open_ basedir配置限制访问在指定的区域 过滤 .(点)/(反斜杠)\(反斜杠) 禁止服务器远程文件包含 尽量不要使用动态包含,可以在需要包含的页面固定写好 ...
文件包含漏洞利用和防御
qq_45455136的博客
10-26 1471
文件包含漏洞利用和防御 文件包含漏洞 PHP相关函数 PHP伪协议 文件包含漏洞 使用函数包含指定文件的代码,没对函数的参数进行过滤,可被用户控制包含恶意文件并执行代码 漏洞分类 本地文件包含:目录遍历、任意文件读取、包含日志文件getshell、图片马getshell、伪协议读取文件/命令执行、包含phpinfo上传的临时文件 远程文件包含:远程木马getshell(需要allow_url_fopen和allow_url_include都是on)
文件包含漏洞防护与利用小技巧
永远是少年
12-14 375
今天继续给大家介绍渗透测试相关知识,本文主要内容是文件包含漏洞防护与利用小技巧。 一、文件包含漏洞防护 二、文件包含漏洞利用小技巧
浅谈文件包含漏洞的利用与防御
a2521013426的博客
08-08 539
#本篇文章会从文件包含漏洞原理开始,大概描述这个漏洞的利用和防御# 文件包含漏洞产生的原因。 程序开发人员通常会把可重复使用的函数或者语句写道单个文件中,他们都希望代码更加灵活,所以会把包含文件的路径设置成变量,来进行动态调用,如果被包含文件的路径客户端可控制,就造成了文件包含漏洞文件包含漏洞在php的web应用中居多,在jsp/asp/asp.net程序中比较少。 PHP中的文件包含语句。 include():多次包含,包含失败后产生警告并继续运行。 include_once():一次包含,包含失败
网络安全-文件上传漏洞原理、攻击与防御
热门推荐
关注网络安全、云原生安全
08-16 1万+
介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。文件上传功能本身没有问题,问题在于上传后如何处理及解释文件。 分类 根据简介,主要分为上传(客户端)、解析(服务端)两大类。 上传-javascript检测 简介 通过js代码,对文件后缀进行判断。 原理 一般使用白名单或黑名单的方式,判断文件后缀,根据后缀决定用户是否上传。 攻击 Firebug插件删除判断函数 使用靶机pikachu做例子,直接通
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值