文件包含漏洞

漏洞描述：

文件包含漏洞是一種針對(duì)依賴于腳本運(yùn)行時(shí)間的 Web 應(yīng)用程序的漏洞。當(dāng)應(yīng)用程序使用攻擊者控制的變量構(gòu)建可執(zhí)行代碼的路徑時(shí)，一旦其允許攻擊者控制運(yùn)行時(shí)執(zhí)行哪個(gè)文件，則會(huì)引發(fā)該漏洞。文件包含漏洞會(huì)破壞應(yīng)用程序加載代碼的執(zhí)行方式。

遠(yuǎn)程文件包含（RFI）在 Web 應(yīng)用程序下載并執(zhí)行遠(yuǎn)程文件時(shí)發(fā)生。這些遠(yuǎn)程文件通常以 HTTP 或 FTP URI 的形式，作為用戶向 Web 應(yīng)用程序提供的參數(shù)而獲取。

本地文件包含（LFI）類似于遠(yuǎn)程文件包含，除了不包含遠(yuǎn)程文件外，只有本地文件（當(dāng)前服務(wù)器上的文件）可以被包含用于執(zhí)行。通過包含一個(gè)帶有攻擊者控制數(shù)據(jù)（如 Web 服務(wù)器的訪問日志）的文件，仍然可以導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

漏洞危害：

該漏洞可被利用在服務(wù)器上遠(yuǎn)程執(zhí)行命令。攻擊者可以把上傳的靜態(tài)文件或網(wǎng)站日志文件作為代碼執(zhí)行，獲取服務(wù)器權(quán)限，并進(jìn)一步篡改用戶和交易數(shù)據(jù)，惡意刪除網(wǎng)站等。

修復(fù)方案：

嚴(yán)格檢查變量是否已經(jīng)初始化。建議您假定所有輸入都是可疑的，嘗試對(duì)所有提交的輸入中可能包含的文件地址（包括服務(wù)器本地文件及遠(yuǎn)程文件）進(jìn)行嚴(yán)格的檢查，參數(shù)中不允許出現(xiàn) ../ 之類的目錄跳轉(zhuǎn)符。

嚴(yán)格檢查 include 類的文件包含函數(shù)中的參數(shù)是否外界可控。

不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾，將關(guān)鍵的過濾步驟放在服務(wù)端執(zhí)行。

在發(fā)布應(yīng)用程序前，測試所有已知的威脅。

點(diǎn)擊下方圖片可購買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程，個(gè)性化服務(wù)，為你的升職加薪之路助力?。?！