网络安全——【文件包含漏洞】

原理及危害

文件包含漏洞)是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。

文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到自己的目的。

1.文件包含(Fi1e Inclusion)即程序通过[包含函数]调用本地或远程文件,以此来实现拓展功能 2.被包含的文件可以是各种文件格式,而当文件里面包含恶意代码,则会形成远程命令执行或文件上传漏洞 3.文件包含漏洞主要发生在有包含语句的环境中,例如PHP所具备include、require等包含函数 

文件包含分为两类
【本地文件包含】LFI(Local File Inclusion)当被包含的文件在服务器本地时,就形成本地文件包含
【远程文件包含】RFI(Remote File Inclusion)当被包含的文件在第三方服务器时,叫做远程文件包含

版权声明:玥玥 发表于 2021-08-26 3:39:20。
转载请注明:网络安全——【文件包含漏洞】 | 女黑客导航