首页 » 安全知识库 » WEB安全原理 » 文件包含 » 正文

文件包含(File Include)攻击

名称:文件包含攻击(File Include)

描述:本地文件包含是指程序代码在处理包含文件的时候没有严格控制。利用这个漏洞,攻击者可以先把上传的静态文件,或网站日志文件作为代码执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。

修复方案:
1、严格检查变量是否已经初始化。
2、建议假定所有输入都是可疑的,尝试对所有输入提交可能可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现../之类的目录跳转符。
3、严格检查include类的文件包含函数中的参数是否外界可控。
4、不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
5、在发布应用程序之前测试所有已知的威胁。

腾讯社区wiki:

http://wiki.open.qq.com/wiki/

发表评论