文件包含漏洞利用与防御
文件包含漏洞
文件包含是指程序代码在处理包含文件的时候没有严格控制。
导致用户可以构造参数 包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权 限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。
主要包括本地文件包含和远程文件包含两种形式
由于开发人员编写源码,开放若将可重复使用的 代码插入到单个的文件中,井在需要的时候将它们包含在特殊的功能代码文件中,然 后包含文件中的代码会被解释执行。
由于并没有针对代码中存在文件包含的函数入口 做过滤导致客户端可以提交恶意构造语句提交,井交由服务器端解释执行。
文件包含攻击中WEB服务器源码里可能存在inlcudeO此类文件包含操作函数,可以通过客户 端构造提交文件路径,是该漏洞攻击成功的最主要原因。
本地文件包含