您所在的位置: 首页>建站知识>菏泽网站建设定制网站文件包含漏洞分类

菏泽网站建设定制网站文件包含漏洞分类

发表于:2021-09-17 阅读:0 关键词: 网站文件包含漏洞分类

文件包含漏洞一旦被互联网黑客进行恶意利用,不仅会暴露Web应用的配置文件,也会暴露自身的源代码,为黑客进一步发掘Web应用漏洞提供条件,最终导致黑客控制整个网站甚至服务器。

       。文件包含,包括本地文件包含和远程文件包含两种形式,下面对这两种形式进行介绍。

       第一,本地文件包含漏洞(Local File Include,本地文件包含故名包含的文件在本地服务器),它是PHP中一种较为典型的高危漏洞。本地文件包含就是通过浏览器包含Web服务器上的文件,当浏览器包含文件没有进行严格的过滤时,允许遍历目录的字符注入浏览器并执行,由于技术人员未对用户输入的内容进行有效过滤与检查,导致恶意用户可以控制被包含的文件,一旦成功,Web应用服务器将一些特定文件当成php执行,从而导致恶意用户可获取一定的服务器权限。

       第二,远程文件包含漏洞(Remote File Inclusion,远程文件包含故名包含的文件不在本地服务器,而需要远程访问其他服务器)。它其实也属于“代码注入”的一种,其原理就是注入一段用户能控制的脚本或代码,由于浏览器对于用户输入没有进行有效的过滤与检查,导致其在服务端执行恶意文件的代码。该漏洞利用的前提是PHP开启了远程包含功能,且被包含的变量前没有目录的限制。文件包含漏洞一旦被互联网黑客进行恶意利用,不仅会暴露Web应用的配置文件,也会暴露自身的源代码,为黑客进一步发掘Web应用漏洞提供条件,最终导致黑客控制整个网站甚至服务器。