阿里云云安全acp認證知識點精講之文件包含漏洞
高級工程師(ACP)
責任編輯:陳湘君
2022-04-12
摘要:文件包含漏洞是阿里云云安全acp認證第1章阿里云安全產品和技術的知識點之一,本文將文件包含漏洞這個知識點的內容進行了整理,希望能幫助考生快速理解和掌握該知識點的內容。
文件包含漏洞
漏洞描述:
文件包含漏洞是一種針對依賴于腳本運行時間的 Web 應用程序的漏洞。當應用程序使用攻擊者控制的變量構建可執行代碼的路徑時,一旦其允許攻擊者控制運行時執行哪個文件,則會引發該漏洞。文件包含漏洞會破壞應用程序加載代碼的執行方式。
遠程文件包含(RFI)在 Web 應用程序下載并執行遠程文件時發生。這些遠程文件通常以 HTTP 或 FTP URI 的形式,作為用戶向 Web 應用程序提供的參數而獲取。
本地文件包含(LFI)類似于遠程文件包含,除了不包含遠程文件外,只有本地文件(當前服務器上的文件)可以被包含用于執行。通過包含一個帶有攻擊者控制數據(如 Web 服務器的訪問日志)的文件,仍然可以導致遠程執行代碼。
漏洞危害:
該漏洞可被利用在服務器上遠程執行命令。攻擊者可以把上傳的靜態文件或網站日志文件作為代碼執行,獲取服務器權限,并進一步篡改用戶和交易數據,惡意刪除網站等。
修復方案:
嚴格檢查變量是否已經初始化。建議您假定所有輸入都是可疑的,嘗試對所有提交的輸入中可能包含的文件地址(包括服務器本地文件及遠程文件)進行嚴格的檢查,參數中不允許出現 ../ 之類的目錄跳轉符。
嚴格檢查 include 類的文件包含函數中的參數是否外界可控。
不要僅僅在客戶端做數據的驗證與過濾,將關鍵的過濾步驟放在服務端執行。
在發布應用程序前,測試所有已知的威脅。
溫馨提示:因考試政策、內容不斷變化與調整,本網站提供的以上信息僅供參考,如有異議,請考生以權威部門公布的內容為準!
延伸閱讀
更多精彩內容請關注
阿里云認證微信公眾號
阿里云認證微信公眾號
阿里云認證備考資料免費領取
去領取
專注在線職業教育24年
APP 
微信群 
掃描二維碼
掃描二維碼
