超级会员免费看
文件包含漏洞允许攻击者通过构造特定URL读取非WEB目录中的敏感文件。本文聚焦PHP,介绍了四个可能导致此类漏洞的函数,并给出了Linux与Windows系统中的敏感文件列表。此外,详细阐述了利用DVWA进行远程包含漏洞的测试案例,包括编辑php.ini以开启漏洞,以及抓取和使用cookie进行渗透测试的步骤。
一、概述
文件包含漏洞是指通过构造一个恶意URL来读取非WEB目录中的文件。正常情况下用户通过浏览器访问的范围被限制在被限制在WEB目录里,系统中的其他目录是无法访问的。
以PHP为例,服务器在执行一个PHP文件的时候,可以加载并执行其他文件的php代码,这个功能是通过以下四个函数其中之一来实现的:
(1)incllude()
(2)require()
(3)include_once()
文件包含漏洞挖掘(一)
于 2022-02-07 14:40:31 首次发布
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
