返回 登录
0

Web安全之走进文件包含的世界

前言

俗话说:“知己知彼,方能百战不殆”,今天,小编就带着你们走进文件包含的世界,去进一步的了解它,深入它……………….如有错误,请你雅正!!
目录

第一节初识文件包含漏洞
· 1.1、 什么是包含
· 1.2、 文件包含漏洞是怎样产生的
· 1.3、 文件包含漏洞的分类
第二节 详解PHP文件包含漏洞
· 1.4、解析PHP文件包含
· 1.5、文件包含实例及漏洞分析
· 1.6、常见的几种攻击手法
· 1.7、修复方案
第三节 严正声明

正文
第一节初识文件包含漏洞
1.1、 什么是包含
程序猿常常把可以重复利用的函数写到单文件中,在使用一些函数时,直接调用,无须再次编写,这种过程呢,就称为包含

1.2、 文件包含漏洞是怎样产生的
程序猿为了让代码更灵活,会设置一些变量,用来动态调用,由于这种灵活,使客户端阔以调用一个恶意的文件,从而造成文件包含漏洞

1.3、 文件包含漏洞的分类
文件包含漏分为本地文件包含(Local File Inclusion)程文件包含(Remote FileInclusion)

第二节 文件包含漏洞实例及常见的几种攻击手法
1.4、 解析文件包含
PHP文件包含漏洞涉及到的危险函数:
include(),require()和include_once(),require_once()
以上这些函数都阔以进行文件包含,但作用不同,区别如下:
Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。
Require:找不到包含文件产生致命错误,并停止脚本
Include_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。
Require_once:这个函数跟require的区别 跟上面我所讲的include和include_once是一样的。所以我就不重复了。
1.5、 文件包含实例及漏洞分析
1)文件包含实例

本次测试,服务器环境为:
PHP 5.3.29
Mysql 5.0.8
Apache 2.4.18
1 本地文件包含(LFI)
小编写了一个test.php文件
[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
5

评论