文件包含漏洞原理以及修复方法

漏洞名称:文件include漏洞、文件包含

漏洞描述 :文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。主要包括本地文件包含和远程文件包含两种形式,由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端解释执行。文件包含攻击中WEB服务器源码里可能存在inlcude()此类文件包含操作函数,可以通过客户

端构造提交文件路径,是该漏洞攻击成功的最主要原因。

检测条件

1、 Web应采用include()等文件包含函数通过动态变量的方式引入需要包含的文件.

2、 用户能够控制该动态变量

检测方法

1、 常见的文件包含漏洞,出现在以PHP语言开发的网站中,例如以下代码采用了指定用户的名称,并将该名称包含在要呈现的 PHP 页面中:

<?php

include($_GET'name');

?>

修复方案:

1、 PHP:配置php.ini关闭远程文件包含功能(allow_url_include = Off)

2、 严格检查变量是否已经初始化。

3、 建议假定所有输入都是可疑的,尝试对所有输入提交可能可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现../之类的目录跳转符。

4、 严格检查include类的文件包含函数中的参数是否外界可控。

5、 不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

6、 在发布应用程序之前测试所有已知的威胁

相关推荐
工程管理笔记19 分钟前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
广州灵眸科技有限公司1 小时前
瑞芯微RV1126B开发板(EASY-EAI-PI2) INI文件操作
java·前端·javascript·网络·人工智能
星恒讯工业路由器2 小时前
VLAN在工业网络中为何越来越重要
网络·信息与通信·vlan·交换机·工业网络·网络隔离
rcms152702692183 小时前
HITEK A1052100N-01 以太网端口模块
网络
KaMeidebaby3 小时前
卡梅德生物技术快报|抗体合成:多肽抗体合成工程化方案:Nsp2 保守肽多抗制备与多维度验证
前端·网络·数据库·人工智能·算法
爱折腾的小黑牛3 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
her_heart4 小时前
把 ChatGPT 5.6 放进需求评审和测试设计之后,我反而减少了“一次成稿”的期待
网络·人工智能·网络协议·chatgpt·测试用例
HehuaTang5 小时前
ovs 中n-handler-threads n-revaidtor-threads作用
网络
讯展互联5 小时前
实体业态运营效率分析:装修门店投放自主与外包的人力模型对比
大数据·网络·经验分享·创业创新·学习方法
云水一下6 小时前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa