文件包含漏洞简介

最新推荐文章于 2023-06-15 23:37:31 发布
最新推荐文章于 2023-06-15 23:37:31 发布
阅读量281 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjdda/article/details/107311684
版权
文件包含

为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。程序员写程序的时候,不喜欢干同样的事情,也不喜欢把同样的代码(比如一些公用的函数)写几次,于是就把需要公用的代码写在一个单独的文件里面,比如 share.php,而后在其它文件需要使用时进行包含调用。

文件包含漏洞成因

在包含文件时候,为了灵活包含文件,将被包含文件设置为变量,通过动态变量来引入需要包含的文件时,用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过,这样就导致了文件包含漏洞。

PHP文件包含的函数

include( )
当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含进来,发生错误时之给出一个警告,继续向下执行。

include_once( )
功能与 Include()相同,区别在于当重复调用同一文件时,程序只调用一次

require( )
require()与 include()的区别在于 require()执行如果发生错误,函数会输出错误信息,并终止脚本的运行。

require_once( )
功能与 require()相同,区别在于当重复调用同一文件时,程序只调用一次。

文件包含漏洞防御

PHP 中使用 open_basedir 配置限制访问在指定的区域
过滤.(点)/(反斜杠)\(反斜杠)
文件包含需要配置 allow_url_include=On(远程文件包含)、allow_url_fopen=On(本地文件包含) 。所以,我们可以将其关闭
使用白名单过滤,只能包含我们指定的文件

以上为文件包含漏洞一个简单的介绍,实践及具体介绍请看下面的链接
文件包含漏洞

zjdda
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件包含漏洞全面详解
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 6028
File inclusion,文件包含漏洞)。程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
文件包含漏洞全解
2301_78287784的博客
06-15 944
以上就是文件包含漏洞所有的内容,通过以上的介绍,我们可以看出文件包含漏洞利用难度,也可以根据他的原理提出修复建议:1、可以限制用户访问文件的权限;2、include函数中的参数用户是否可控,如果可控,则要限制;3、增加过滤,对用户输入的敏感参数进行过滤;4、配置文件中不必要开的参数设置为OFF等等,希望本文能对你有所帮助,星光安全面向基础。
文件包含漏洞
nobugnomoney的博客
03-23 5035
一、文件包含漏洞原理 PHP语言提供的文件包含功能太强大,太灵活,所以包含漏洞常常出现在PHP中,但不只是PHP中有包含漏洞,其他语言也有包含漏洞,如java等,本篇主要以PHP为例讲解原理及其利用技巧: PHP提供4个文件包含的函数 1、include():找不到文件时继续执行,只会警告 2、include_once():与include()类似,只是如果文件中的代码已被包含,则不会再次包含 3、require():找不到文件时会爆出致命的错误; 4、require_once():与上述的类似; 1、本地
文件包含漏洞详解
Ays.Ie的博客
10-31 4600
本篇文章主要讲解文件包含漏洞,内容包括文件包含漏洞的原理,验证,以及修复的策略
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
信息安全技术:文件包含漏洞简介.pptx
11-01
本文将深入探讨文件包含漏洞的概念、风险以及如何识别和防范这类漏洞。 **1. 什么是文件包含?** 文件包含,通常指的是在编程中,尤其是PHP语言中,通过特定语句(如`include`或`require`)将一个外部文件的内容...
web网站文件包含漏洞和攻击-运维安全详细笔记总结
最新发布
06-30
web 网站文件包含漏洞和攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
PHP 网络开发详解之远程文件包含漏洞
10-29
由于PHP支持使用相同的函数(Function)对本地文件和远程文件进行操作。因此,一些恶意用户通过强行使网站上的PHP代码(Code)包含自己的文件来实现执行自己脚本的目的。
08_理论8_文件包含漏洞的原理与实践_20180921
02-10
08_理论8_文件包含漏洞的原理与实践_20180921
文件包含漏洞(详解)
qq_38348692的博客
09-13 4719
1. 文件包含:程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,例如 include “conn.php”。php常见的文件包含函数: include "conn.php": 当包含文件出现错误时,发出错误信息,继续执行 include_once "conn.php":只包含一次 require "conn.php": 当包含出现错误时,发出错误信息,不再...
文件包含漏洞之——概述及分类演示
温柔小薛的博客
04-08 673
文件包含漏洞概述及分类演示 包含漏洞简介 包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏洞只出现PHP语言之中,殊不知在其他语言中可能出现包含漏洞。这也应了一句老话:功能越强大,漏洞就越多。 漏洞原因 包含漏洞不是语言的问题,而是人的思维问题 PHP中的四...
文件包含漏洞详解 一文了解文件包含漏洞
闵行小鱼塘
11-07 1961
本篇总结归纳文件包含漏洞
本地文件包含漏洞详解
热门推荐
发哥微课堂
06-14 2万+
0x00:漏洞定义 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 文件包含分为两种,一种为本地文件包含,一种为远程文件包含,此篇记录本地文件包含。本地文件包含(Local File Include),简称 LFI。 0x01:涉及函数 文件包含在 php 中,涉及到的危险函数有四个,分别是 inclu...
文件包含漏洞总结
Shanfenglan's blog
04-06 776
前言 主要有远程文件包含与本地文件包含,一般出现在php环境中。 绕过姿势 参考文章 文件包含漏洞(绕过姿势)
PHP文件包含漏洞深度解析
文件包含漏洞的原理及特点:当应用程序允许用户控制包含文件的路径时,就可能出现文件包含漏洞。攻击者可以通过构造特定的输入,使得程序包含攻击者指定的文件,这可能是服务器上的任意文件,甚至远程服务器上的文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值