文件包含漏洞简介

最新推荐文章于 2024-08-08 14:27:11 发布
原创 最新推荐文章于 2024-08-08 14:27:11 发布 · 333 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了文件包含漏洞的成因及其防御措施,解析了PHP中四种文件包含函数的使用场景与区别,包括include(), include_once(), require()和require_once()。同时,介绍了如何通过配置和过滤策略来有效防范文件包含攻击。
文件包含

为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。程序员写程序的时候,不喜欢干同样的事情,也不喜欢把同样的代码(比如一些公用的函数)写几次,于是就把需要公用的代码写在一个单独的文件里面,比如 share.php,而后在其它文件需要使用时进行包含调用。

文件包含漏洞成因

在包含文件时候,为了灵活包含文件,将被包含文件设置为变量,通过动态变量来引入需要包含的文件时,用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过,这样就导致了文件包含漏洞。

PHP文件包含的函数

include( )
当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含进来,发生错误时之给出一个警告,继续向下执行。

include_once( )
功能与 Include()相同,区别在于当重复调用同一文件时,程序只调用一次

require( )
require()与 include()的区别在于 require()执行如果发生错误,函数会输出错误信息,并终止脚本的运行。

require_once( )
功能与 require()相同,区别在于当重复调用同一文件时,程序只调用一次。

文件包含漏洞防御

PHP 中使用 open_basedir 配置限制访问在指定的区域
过滤.(点)/(反斜杠)\(反斜杠)
文件包含需要配置 allow_url_include=On(远程文件包含)、allow_url_fopen=On(本地文件包含) 。所以,我们可以将其关闭
使用白名单过滤,只能包含我们指定的文件

以上为文件包含漏洞一个简单的介绍,实践及具体介绍请看下面的链接
文件包含漏洞

一文教你读懂:文件包含漏洞
afei001
02-25 702
文件包含漏洞简介     文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含file inclusion。文件包含可能会出现在JSP、PHP、ASP等语言中。 常见的导致文件包含的函数 PHP: require() require_once() include() include_once() fopen() readfil...
文件包含漏洞
谢公子的博客
09-23 1万+
目录 文件包含漏洞成因 为什么要包含文件? 如何利用这个漏洞? 本地包含 远程包含 文件包含漏洞的防御 文件包含漏洞成因 文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含File inclusion。文件包含可能会出现在jsp、php、asp等语言中。服务器通过函数去包含任意文件时,由于要包含的这个文件来源过滤...
【DVWA】文件包含漏洞
sunshine1_0的博客
04-04 2508
什么是文件包含漏洞 低安全级别 中安全级别 高安全级别 什么是文件包含漏洞 文件包含漏洞:即File Inclusion,意思是文件包含漏洞),是指当服务器开启allow_url_include选项时,就可 以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文 件,此时如果没有对文件来源进行严格审查...
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 9万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
精选资源
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
信息安全技术:文件包含漏洞简介.pptx
11-01
本文将深入探讨文件包含漏洞的概念、风险以及如何识别和防范这类漏洞。 **1. 什么是文件包含?** 文件包含,通常指的是在编程中,尤其是PHP语言中,通过特定语句(如`include`或`require`)将一个外部文件的内容...
文件包含漏洞:pikachu与DVWA靶场中的文件包含漏洞通关
qq_68163788的博客
05-27 2372
文件包含漏洞是一种常见的Web安全漏洞,攻击者可以通过包含恶意文件来执行任意代码或获取敏感信息。在DVWA靶场中,通过利用文件包含漏洞,可以获取系统文件、敏感信息或者执行恶意代码。pikachu可以通过构造恶意文件路径,利用DVWA中的文件包含漏洞来获取管理员权限或者对系统进行攻击。为了防范文件包含漏洞,开发者应该避免直接包含用户输入的文件,并且对输入进行严格的过滤和验证。通过了解和掌握文件包含漏洞的原理和利用方法,可以帮助提高Web应用程序的安全性。
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
28_文件包含漏洞、本地文件包含、远程文件包含文件包含漏洞防御措施
最新发布
weixin_54591045的博客
08-08 907
File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如 在PHP中,提供了:这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞
一文详解文件包含漏洞
MachineGunJoe666
06-10 3074
file:// #访问本地文件系统http:// #访问HTTPs网址ftp:// #访问ftp URLphp:// #访问输入输出流zlib:// #压缩流data:// #数据expect:// #处理交互式的流glob:// #查找匹配的文件路径。
文件包含漏洞基础概述及操作
weixin_48734687的博客
07-25 367
什么是文件包含 为了更好的理解文件包含,我们首先应了解对于文件包含重要的函数:include() Include()函数的参数为被包含文件的地址,若地址正确,根据被包含文件的内容,执行结果分为两种情况。 1.文件中不含有PHP标签( <?php ?> ),这种情况下执行include函数,将直接输出文件内容。 2.若文件内容被php标签包裹,则会按照php标准执行php代码。 —注意!虽然 <br> 没有被php标签包裹,但由于文件是在浏览器端执行,所以会被当成HTML代码执行
文件包含漏洞介绍
gududeajun的博客
12-10 203
包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏洞只出现PHP语言之中,殊不知在其他语言中可能出现包含漏洞。这也应了一句老话:功能越强大,漏洞就越多。 包含原理:程序员开发的时候,未对包含的文件进行严格过滤,攻击者可构建自己的图片木马文件当做PHP执行。 PHP的四个文件包含函数: include() 文件被多次包含时,会抛出错误,但不影响程序向下执行 inc...
将CCP协议移植到TC275中(1)
qq_34309267的博客
12-08 1887
如上图所示,这是CCP的协议栈,包含头文件及源代码。 include里边包含所有与CCP相关的头文件。 1.Ccp_CAN_Driver.h 此文件主要包括和can驱动相关的宏定义,枚举,结构体及调用函数。 void MultiCAN_CCP_Init(void); void MultiCAN_Messgage_send_CAN(uint8 data[],IfxMultican_Can_MsgObj canSrcMsgObj,uint32 id); void MultiCAN_Messgage_read_.
1.文件包含漏洞简介——小白笔记
qwsn
11-07 1654
0x01:文件包含漏洞简介 1.file inclusion 2.文件包含,即文件包含漏洞 3.在应用程序运行中,可以动态引入文件的内容 注意: ①程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。 ②程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用, 但正是由于这种灵活性,从而...
PHP文件包含漏洞深度解析
文件包含漏洞的原理及特点:当应用程序允许用户控制包含文件的路径时,就可能出现文件包含漏洞。攻击者可以通过构造特定的输入,使得程序包含攻击者指定的文件,这可能是服务器上的任意文件,甚至远程服务器上的文件...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值