一个Web应用程序实际上就是操作系统中的一个目录,而这个目录中还包含了一些其他的目录和文件。正常情况下,用户在使用浏览器访问Web应用程序时,只能访问Web应用程序对应目录里面的内容。但是,如果Web应用程序具有操作文件的功能,而且没有严格限制,就会导致客户可以访问Web目录之外的文件,从而对服务器操作系统中的其他文件进行访问,这种情况一般被称作本地文件包含(Local File Inclusion,LFI,也就是目录遍历)漏洞。如果Web服务器的配置不够安全,并且正在由高权限的用户运行,网络攻击者就可能获取敏感信息。
与此相对应的还有一种远程文件包含(Remote File Inclusion,RFI)漏洞,这种漏洞会导致允许Web应用程序加载位于其他Web服务器上的文件。不过这种漏洞主要存在于使用PHP语言编写的Web应用程序中,在使用JSP、ASP.NET等语言编写的应用程序中则基本不会出现。
文件包含与命令注入就像是一对双胞胎漏洞,都是由于Web应用程序权限扩大而造成的。命令注入是利用Web应用程序执行系统命令,而文件包含则是访问系统目录。这两种漏洞主要存在于使用PHP语言编写的Web应用程序中,但是它们的产生机制对于所有的Web应用程序都有参考意义。
1、文件包含漏洞简介
如果一个Web应用程序存在本地文件包含漏洞,黑客就可能通过构造恶意URL来读取非Web目录中的文件(PHP环境下后果会更为严重)。
如下图所示,正常情况下,用户通过浏览器所访问的范围被限制在www目录中,而无法访问服务器操作系统中的其他目录。