文件包含漏洞
简介
文件包含
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。
漏洞的形成原因
随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用
但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校验或者校验被绕过就造成了文件包含漏洞。
文件包含漏洞
大多数Web语言都可以使用文件包含操作,其中PHP语言提供的文件包含功能强大而灵活,所以包含漏洞经常出现在PHP文件中。其他语言页可能出现包含漏洞
PHP包含
PHP提供了四个文件包含的函数
- require():可以包含文件,如果包含错了,直接报错并退出程序的执行
- include():在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行
- require_once():与require类似,区别在于当重复调用同一文件时,程序只调用一次
- include_once():与include类似,区别在于当重复调用同一文件时,程序只调用一次
文件包含漏洞分类
本地文件包含
远程文件包含
文件包含漏洞的危害
-
读取敏感文件
-
获取Webshell
-
配合文件上传漏洞
标签:文件,调用,包含,漏洞,PHP,include 来源: https://www.cnblogs.com/zhoujinxuan/p/16297696.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。