PHP安全:简谈文件包含漏洞

最新推荐文章于 2024-05-05 14:49:53 发布
最新推荐文章于 2024-05-05 14:49:53 发布
阅读量691 收藏 2
点赞数 2
分类专栏: web安全 文章标签: php 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ElsonHY/article/details/111349956
版权

简谈文件包含漏洞

前言

文件包含,算是“注入攻击”中的典型代表之一了,这种漏洞在PHP语言上出现比较多,因为PHP语言在设计上一开始没有过多地考虑安全性,时至今日,尽管PHP社区和开发者一直在安全性上做出努力,不过遗留下来的问题还是不少。
本篇主要讲解PHP文件包含漏洞的相关知识。
在这里插入图片描述
(替兄弟默哀三分钟= =、)

0x01 危险的函数

文件包含可能出现在JSP、PHP、ASP等语言中,常见的导致文件包含的函数主要有以下几种:

PHP:include(),include_once(),require(),require_once(),fopen(),readfile()
JSP/Servlet:ava.io.File(),java.io.FileReader()
ASP:include file,include virtual

当使用这4个函数包含一个新的文件时,该文件将作为PHP代码执行PHP内核并不会在意包含的文件是什么类型

最低0.47元/天 解锁文章
RDrug
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透之文件包含漏洞-学习笔记分享
weixin_52112965的博客
07-16 1095
文件包含知识的总结
PHP常见的漏洞
xysoul的专栏
11-14 3480
0x00 前言 里面很多都是像laterain学习到的, 如果能考上cuit的话 自动献菊花了。 0x01 安装的问题 首先拿到一份源码 肯定是先install上。 而在安装文件上又会经常出现问题。 一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了。 其他的基本都是通过生成一个lock文件 来判断程
文件包含漏洞全面详解
最新发布
baimao__Ch的博客
05-05 678
和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件,在使用该函数,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有候由于网站功能需求,会让前端用户选择要包含文件,而开发人员又没有对要包含文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
php文件包含漏洞总结
cj_Hydra's Blog
02-26 1347
前言 一:什么是文件包含漏洞? 服务器通过PHP的特性(函数)去包含任意文件,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我可以构造这个恶意文件来达到攻击的目的。 漏洞产生的根本原因就是,在通过php函数引入文件,没有对传入的文件名经过合理的校验,从而操作了预想 之外的文件(也就是恶意文件)。 二:是不是只有php才有文件包含漏洞? 当然不是的,只是文件包含漏洞比较常出现...
include top.php,Php 安全错误 Top 7
weixin_34061121的博客
04-07 138
PHP对于飞速发展的动态网站来说是一门恐怖的语言。它对于新手来说也有很多友好的性质,比如变量不需要定义就可以直接使用。但是,一些类似的这种性质使程序员不会注意到在网站应用方面的一些安全问题。一个非常著名的邮件列表就充满很多条了对PHP应用有漏洞的例子,但一旦你理解了PHP应用这些基本的漏洞PHP将变得比其他任何语言都安全。在这篇文章,我会详细的说说明在一般PHP程序常见的导致安全问题的错误...
代码审计——常见漏洞审计之php危险函数总结
爱国小白帽
04-24 1549
代码执行 执行代码函数: eval() assert() preg_replace() create_function() array_map() call_user_func() call_user_func_array() array_filter usort uasort() 命令执行 命令执行函数: system() exec() shell_exec() passthru() ...
计算机网络安全漏洞防范简谈.pdf
09-20
计算机网络安全漏洞防范简谈.pdf
简谈锂电池系统安全的那些事
01-20
电动锂电池系统起火是非常极端的事件,之前的文章讨论了几种原因,其实很难通过一个独立的事件(单因绕开所有的安全机制来进行),而是通过和各类研究资料、调研等来界定电池起火的热能释放补充。  这里选一...
简谈校园网络安全方案的设计.pdf
09-29
简谈校园网络安全方案的设计.pdf
欧柏泰克:.NET简谈面向接口编程
12-09
欧柏泰克:.NET 简谈面向接口编程 面向接口编程是一种高抽象的开发模式,旨在将类与类之间的关系提升到一个更高的抽象层次。这种编程方式可以帮助开发人员更好地设计和实现软件系统,从而提高开发效率和质量。 在...
PHP常见函数漏洞
Elite的博客
04-11 2559
常见的PHP特性(bug)总结,干货满满哦
PHP文件包含漏洞小结
Zeker62的博客
08-27 186
参考链接:https://chybeta.github.io/2017/10/08/php文件包含漏洞/ 四大漏洞函数 PHP文件包含漏洞主要由于四个函数引起的: include() include_once() require() require_once() require()/require_once():如果在包含过程有错,那么直接退出,不执行进一步操作。 include()/i...
文件包含漏洞原理与实践练习题
weixin_54217081的博客
12-13 877
一.多选 1.下列属于文件包含函数的是( ABCD ) A.include B.include_once C.require D.require_once 二.判断 1.文件包含漏洞PHP比较多,其他语言不存在。( × ) 2.文件包含漏洞在利用无视后缀名,任何扩展名都可以被PHP解析。( √ )
php文件包含漏洞的危害,php文件包含漏洞小结
weixin_28689507的博客
03-19 529
本文由 东塔网络安全学院学员---吴同学 投稿。0x00 文件包含的出现开发者为了节约开发间,可以将重复利用的代码使用文件包含函数,如include,reuqire等进行文件包含,大大节约开发的间和成本。0x01文件包含函数Include:包含并指定运行的函数。如果未文件则include结构会发出一条警告。Require:包含并指定运行的函数。如果未文件则include结构会发出一个...
PHP漏洞全解————10、PHP文件包含漏洞
Fly_鹏程万里
07-05 8298
基本相关函数<>php引发文件包含漏洞的通常是以下四个函数:include()include_once()require()require_once()reuqire() 如果在包含的过程有错,比如文件不存在等,则会直接退出,不执行后续语句。...
文件包含漏洞(include)-学习笔记
小龙在线
08-21 5622
简介 服务器执行PHP文件,可以通过文件包含函数加载另一个文件PHP代码,并且当PHP来执行,这会为开发者节省大量的间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面,仅仅需要修改一下菜单文件(而不是更新所有网页的链接)。 PHP Stream(流) 属性 支持 受限于 allow_url_fopen NO 受限于allow_url_include 仅 php://input、 php://s
文件包含漏洞(详解)
qq_38348692的博客
09-13 4714
1. 文件包含程序开发人员一般会把重复使用的函数写到单个文件,需要使用某个函数直接调用此文件,例如 include “conn.php”。php常见的文件包含函数: include "conn.php": 当包含文件出现错误,发出错误信息,继续执行 include_once "conn.php":只包含一次 require "conn.php": 当包含出现错误,发出错误信息,不再...
网络安全PHP基础
weixin_56537388的博客
06-07 373
写一下在这个记录PHP的学习,不过现在php用的越来越少,现在主要是Java,以后可能学点golang,这个现在比较火,文章只求能看懂php语言,了解可能出现的漏洞PHP以开始,以结束当解析一个文件PHP会寻起始和结束标记,也就是
深入探讨PHP安全性和防护措施
u011715638的博客
02-22 397
PHP 是一种广泛应用于 Web 开发的脚本语言,然而,由于其动态特性和开放的编程模式,PHP 应用程序容易受到各种安全威胁的影响。在本文,我们将深入探讨 PHP 应用程序面临的安全风险,并介绍一些防护措施和最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值