pikachu cubre la inclusión -File (vulnerabilidades de inclusión de archivos)

Others 2020-04-04 22:15:50 views: null

I. Visión general

Archivo contiene, es una función. En varios lenguajes de desarrollo proporcionar una función de archivo que contiene la función, lo que permite a los desarrolladores incluyen dirigir un archivo de código (introducir) un archivo de código adicional. Por ejemplo, en PHP, se proporciona:
el include (), include_once ()
la require (), require_once ()
Estos archivos contienen funciones que se utilizan con frecuencia en el diseño de código.
En la mayoría de los casos, el archivo que contiene el archivo de código que contiene la función es fijo, y por lo tanto no va a haber problemas de seguridad. Sin embargo, en algunos casos, el código contenido en el archivo se escribe como una variable, y esta variable puede pasar por el usuario front-end de, en este caso, si usted no tiene consideraciones de seguridad suficientes, puede conducir a un archivo que contiene la vulnerabilidad. Ataque con un archivo "inesperada" especificada contiene la función permitirá a ejecutar, provocando acciones maliciosas. Dependiendo del entorno de configuración, el archivo que contiene la vulnerabilidad divide en las dos situaciones siguientes:
1. El archivo local contiene la vulnerabilidad:

Sólo los servidores puede ser un archivo local que contiene el archivo ya que el atacante no es capaz de controlar los servidores, por lo que en este caso, el ataque contendrá algún archivo de configuración del sistema fijo adicional, por lo que la información sensible sistema de lectura. Muchas veces el archivo local que contiene la vulnerabilidad se combinará con un poco de especial vulnerabilidad de carga de archivos, para formar más potente.
2. vulnerabilidades de inclusión de archivos remotos:

Puede a través de la dirección URL de un archivo remoto contiene, lo que significa que un atacante puede pasar de código arbitrario, esto no es nada que decir, listo heridos.
Por lo tanto, en el sistema de front-end de aplicaciones de diseño web funcional, trate de no dejar al usuario pasar directamente variable contiene la función, si tiene que hacerlo, hay que hacerlo en la lista blanca estrictas estrategias de filtrado.

二, Inclusión de archivos (local)

① después de elegir libremente, en la url me encontré con un nombre de archivo

 

 ② contener archivo de información significativa, vamos a tratar de reemplazar la información de otros archivos file1.php, creé en un contenido del directorio padre, usted es buena 1.txt 

cambio ../../1.txt

 

 

三, File Inclusion (a distancia)

forma Vulnerabilidad de inclusión remota de archivos contiene lagunas casi como una vulnerabilidad de inclusión de archivo local en el mando a distancia, un atacante remoto puede cargar el código accediendo a la dirección externa.

 

Incluye premisa de la vulnerabilidad a distancia: Si utiliza Includer y necesita, necesita de configuración php.ini es el siguiente:

 

allow_url_fopen = on // por defecto

 

allow_url_include = on // desactivado por defecto

 

 

Supongo que te gusta

Origin www.cnblogs.com/c1047509362/p/12634450.html
Recomendado
Clasificación
Diario
Más
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)

Code World

© 2018 codetd.com