远程文件包含利用 远程文件包含利用 什么是远程文件包含? 使用远程文件包含(RFI),攻击者可以使web应用程序包含远程文件。对于动态包含外部文件或脚本的web应用程序来说,这是可能的。成功的RFI攻击的潜在web安全后果包括从敏感信息泄露和跨站点脚本(XSS)到远程代码执行,最终的结果是整个系统遭到破坏。 远程文件包含攻击通常发生在应用程序接收到一个文件路径作为网页的输入,但没有正确地对其进行消毒时。这允许向include函数提供一个外部URL。 1、远程文件包含简介 远程文件包含利用 远程文件包含本质上和LFI(本地文件包含)是同一个概念,只是被包含的"文件源"(我们之后会了解到其实是流源)不是从本次磁盘上获得,而是从外部输入流得到。如果PHP的配置选项allow_url_include为ON的话,则include/require函数可以加载远程文件 远程文件包含利用 这里看似将路径的后半段都定死了,但是结合HTTP传参的原理可以绕过去。 攻击者可以构造类似如下的攻击URL: 2、实例利用说明 远程文件包含利用 /?path=http://localhost/test/soluti
剩余19页未读,继续阅读
评论星级较低,若资源使用遇到问题可联系上传者,3个工作日内问题未解决可申请退款~