文件包含漏洞

最新推荐文章于 2024-08-07 10:58:17 发布
最新推荐文章于 2024-08-07 10:58:17 发布
阅读量1.5w 收藏 18
点赞数 17
分类专栏: Web漏洞 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/82823685
版权
本文详细介绍了PHP的文件包含漏洞,包括成因、利用方式(本地包含LFI和远程包含RFI)及防御措施。通过实例说明了如何利用可控变量进行文件包含,展示了可能导致的安全风险,如读取敏感文件或执行恶意代码。同时,提出了通过关闭相关配置或使用白名单过滤来防止此类漏洞的发生。
摘要由CSDN通过智能技术生成

目录

文件包含漏洞成因

为什么要包含文件?

如何利用这个漏洞?

本地包含

远程包含

文件包含漏洞的防御

文件包含漏洞成因

文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含File inclusion。文件包含可能会出现在jsp、php、asp等语言中。但是asp、jsp文件只能本地包含,而php既可以本地包含也可以远程包含。服务器通过函数去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。常见的文件包含的函数如下
PHP:include() 、include_once()、require()、require_once()、fopen()、readfile()
JSP/Servlet:ava.io.file()、java.io.filereader()
ASP:include file、include virtual

了解本专栏 订阅专栏 解锁全文 超级会员免费看
谢公子
关注
专栏目录
订阅专栏
【C基础语法】fopen-路径
weixin_37629807的博客
08-08 3313
【C基础语法】fopen-相对路径 绝对路径 windows
路径没错html显示不了图片_web前端——路径问题
热门推荐
weixin_39770592的博客
12-01 1万+
路径分为两种:相对路径和绝对路径相对路径:相对于项目而言的路径。绝对路径:在我们电脑硬盘上的路径。一般写相对路径,因为我们的项目可能会改变地方,如果写绝对路径的话,项目每改一次地方就需要改一次地址,如果写地址的地方比较多的话,修改起来会相当麻烦。我们需要写路径的地方一般有三个,一个是引用图片,一个是引用样式文件,一个是引用js文件。以<img>标签为例:一、绝对路径: 例如在我的...
文件包含漏洞全面详解
最新发布
weixin_42340783的博客
08-07 1346
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
fopen的路径怎么写_用C++写光线追踪:单根光线的渲染
weixin_42362048的博客
01-03 199
0.背景介绍我依稀记得自己写过一个“用unity写光线追踪”的系列,写了有几篇吧,最新一篇的大体内容早已写完,但始终无法解决网格模型在unity中的读取问题,故搁置了下去。点数组、面数组与序数总是对不上号。后来我就去看DirectX12和算法相关了,顺带买了本线性代数的书学习。一晃眼竟然过去了四个月多,前些日子偶然看到了samllpt这个项目,99行实现路径追踪,成品相当逼真。我自然是超级感兴趣,...
fopen的路径怎么写_Phpmyadmin写日志getshell
weixin_35968240的博客
01-14 124
这个算是一个很常见也很基础的getshell的方式,昨天有个小伙伴问到我这个问题,说面试的时候主管给了他一个phpmyadmin登录入口,让他getshell,由于实战经验较少,小伙伴那道题没拿到分。其实,看到phpmyadmin,第一反应就应该是写日志getshell。为了防止大家继续踩坑,特地科普一波。大家看了以后记得在本地phpstudy环境内动手测试一下,以免后面再遇到这类面试题不知道怎么...
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
fopen文件路径怎么写_Run Mario!写一个越狱插件
weixin_39756192的博客
11-04 191
摘要本文记叙了制作一个越狱插件的过程,它可以解除 SuperMarioRun 在越狱手机上的限制。(SuperMarioRun 是任天堂在 iOS 平台上推出的一款游戏)。插件可以通过 Cydia 安装(搜索 RunMario)。故事春节假期玩了很久的 SuperMarioRun,当得到了前三关的全部九个金币后,终于下决心买了后面的世界,玩得津津有味。前几日发现 iOS 10.2 可以越狱了,作为...
php的多功能文件操作类
weixin_30519071的博客
07-05 172
本类为文件操作类,实现了文件的建立,写入,删除,修改,复制,移动,创建目录,删除目录,列出目录里的文件等功能,路径后面别忘了加"/" 创建指定路径下的指定文件 * @param string $path(需要包含文件名和后缀) * @param boolean $over_write 是否覆盖文件 * @param int $time 设置时间。默认...
linux下fopen的路径怎么写,linux下fopen函数的使用
weixin_39908082的博客
05-02 1865
请问在linux系统下使用fopen函数,文件名如何设置,比如根目录下mnt目录下的std.txt文件(std.txt最初不存在),是不是应该写成fopen("/mnt/std.txt","wb")。我这样写运行后返回值是NULL,表明打开失败。请问该如何写路径?|楼上说的那个,\是windows下的路径分隔符号.我还是给出具体实例吧:[henryfour@wwwtest]$cata.c...
PHP文件系统-目录操作
weixin_30644369的博客
04-11 125
一、对文件的操作 文件的操作: 创建文件touch(), 删除文件unlink(), 重命名rename, 大小filesize(), 移动复制等 读取 (都有PHP内置函数) 目录的操作: 创建目录(有),删除目录,复制目录, 统计目录大小, 遍历 (自己定义函数) 还有个文件管理系统fileSystem_demo在上面的文件夹中,是用面向对象的方法写的 二、遍历目录: opendir...
文件上传/文件包含漏洞学习
seeicb的博客
05-20 1378
title: 文件上传/文件包含漏洞学习 date: 2016-04-25 21:52:19 categories: 安全 tags: Web安全 ** 文件上传漏洞 ** 在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。 常...
文件包含漏洞简介
yukinorong的博客
08-27 443
文件包含漏洞简介 解释:LFI是能够打开并包含本地文件的漏洞; 这里区别一下RFI,远程文件包含漏洞; 意义:文件包含漏洞是"代码注入"的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含漏洞结合上传漏洞PHP包含读文件; PHP包含写文件; PHP包含日志文件; PHP截断包含; PHP内置伪协议利用。 PHP文件包含函数有以下四种: php漏洞函数: ...
文件包含漏洞(本地包含配合文件上传)
WYJ____的博客
08-06 2632
预备知识 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无须再次编写,这种调用文件的过程称为包含。 实验目的 学会本地包含配合文件上传 实验工具 火狐浏览器 实验环境 客户机一台(操作系统为Windows Server 2003)服务器一台(操作系统为Windows Server 2003) 实验步骤 1、访问http://127.0.0....
PHP文件包含漏洞深度解析
文件包含漏洞的原理及特点:当应用程序允许用户控制包含文件的路径时,就可能出现文件包含漏洞。攻击者可以通过构造特定的输入,使得程序包含攻击者指定的文件,这可能是服务器上的任意文件,甚至远程服务器上的文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值