文件包含漏洞
许多脚本语言支持文件包含,开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,把它们包含在特殊功能的代码文件中,然后包含文件中的代码被解释,被包含的文件设置为变量,用来进行动态调用,这种动态调用可能导致客户端可以调用恶意文件造成文件包含漏洞。
利用文件包含函数进行调用,如include(),require()等。
本地文件包含需结合跨目录字符(../)等,
包括利用Apache日志的,利用SSH日志auth.log,利用SESSION文件等
远程文件包含
...未完待续
