风炫安全web安全学习第三十四节课 文件包含漏洞防御 文件包含防御 在功能设计上不要把文件包含的对应文件放到前台去操作 过滤各种…/,https://, http:// 配置php.ini文件 allow_url_fopen=off allow_url_include=off magic_quotes_gpc=on 通过白名单策略 topic.php,image.php file=topic.php $allow_file = [ 'topic.php', 'image.php' ]; if (in_array($_GET['file'], $allow_file)){ } 参考: http://blog.evalshell.com/2020/12/20/%e9%a3%8e%e7%82%ab%e5%ae%89%e5%85%a8web%e5%ae%89%e5%85%a8%e5%ad%a6%e4%b9%a0%e7%ac%ac%e4%b8%89%e5%8d%81%e5%9b%9b%e8%8a%82%e8%af%be-%e6%96%87%e4%bb%b6%e5%8c%85%e5%90%ab%e6%bc%8f%e6%b4%9e%e9%98%b2/
本文介绍了如何防御文件包含漏洞,包括不在前台操作文件包含功能、过滤特定字符串、配置php.ini文件来禁用URL文件操作及包含功能等措施,并采用白名单策略确保安全。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
