06_文件包含漏洞
【Web安全从入门到放弃】01_暴力破解漏洞
【Web安全从入门到放弃】02_跨站脚本漏洞
【Web安全从入门到放弃】03_跨站请求伪造(CSRF)漏洞
【Web安全从入门到放弃】04_Sql-Inject漏洞
【Web安全从入门到放弃】05_远程命令、代码执行漏洞
文件包含漏洞概述
在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简洁,会使用“包含"函数功能。比如把一系列功能函数都写进fuction.php中 ,之后当某个文件需要调用的时候就直接在文件头中写上一句
<?php include fuction.php?>
就可以调用函数代码。但有些时候,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能中使用
了“包含"功能) ,又由于开发人员没有对要包含的这个文件进行安全考虑,就导致攻击者可以通过修改包含文件的位置来让后台执行任意文件(代码)。这种情况我们称为"文件包含漏洞”。
文件包含漏洞有"本地文件包含漏洞”和"远程文件包含漏洞”两