开发安全之Dangerous File Inclusion

Overview

将一个未验证的文件名传递给了 include 指令。如果允许未验证的用户输入控制动态包含在 PHP 中的文件,会导致恶意代码的执行。

Details

许多现代网络编写语言都能够在一个封装的文件内包含附加的源文件,从而使代码可以重用和模块化。这种能力经常用于赋予应用程序标准外观(应用模板),因而,人们可以共享各种功能而不需要借助编译的代码,或将代码分解成较小的更好管理的文件。各个包含文件都会作为主文件的一部分进行解析,并采用相同的方式来执行。当未验证的用户输入控制了所包含文件的路径时,就会发生 File inclusion 漏洞。 File inclusion 漏洞是各种 PHP 应用程序中最多见且最为严重的漏洞。在低于 PHP 4.2.0 的版本中,PHP 的安装包附带了默认启用的 register_globals,从而使攻击者很容易重写内部服务器的各种变量。尽管禁用 register_globals 可以从一定程度上减少程序发生 file inclusion 漏洞的风险,但是这些问题仍然存在于各种现代的 PHP 应用程序中。

**例 1:**以下代码包含了一个文件,该文件位于模板中定义 $server_root 的应用程序下。 ...

<?php include($server_root . '/myapp_header.php'); ?>

... 如果将 register_globals 设置为 on,攻击者可以通过提供 server_root 请求参数覆盖 server_root 值,从而部分控制动态 include 指令。

**例 2:**以下代码采用了用户指定的模板名称,并将该名称包含在要呈现的 PHP 页面中。

<?php include($_GET'headername'); ?>

... 在Example 2 中,攻击者可通过为 headername 提供恶意值来完全控制动态 include 语句,从而会使程序包含来自外部站点的文件。 如果攻击者给动态 include 指令指定有效文件,该文件的内容将被传送到 PHP 解释器。对于一个纯文本文件来说,如 /etc/shadow,该文件可能会作为 HTML 输出的一部分来呈现。更为糟糕的是,如果攻击者可以指定一条路径来指向被自己控制的远程站点,那么动态 include 指令就会执行由攻击者提供的任意恶意代码。

Recommendations

通过将以下行包含在 php.ini 文件中来禁用 register_globals 选项: register_globals = 'off' 不要允许未验证的用户输入控制动态包含指令中使用的路径。而应当采取一种间接手段:创建一份合法包含文件列表,仅允许用户从该列表中进行选择。利用这种方法,用户就不能直接从文件系统中指定一个文件。 例 2 可以进一步改进,将用户输入映射至用来选择所需模板的按键,如下所示:

php 复制代码
<?php 
$templates = array('main.php' => 1, 'blue.php' => 2, 'red.php' => 3);?>

<?php include($templates[$_GET['headername']]); ?>
相关推荐
ylscode7 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP8 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝10 小时前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
doiito13 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔13 小时前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR13 小时前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛14 小时前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub14 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
MDM.Plus15 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师16 小时前
2026年7月高危安全态势速览
安全