概述
Author:Zizzy
两年前的文章了,估计适合对php包含漏洞一知半解的
2004-3-7
在这篇文章里我会告诉php远程文件包含漏洞的原理,初涉程序员的人必看。
首先的问题是,什么才是”远程文件包含漏洞“?简要的回答是服务器通过php的任意文件包含过滤不严,从而去执行一个恶意文件,这是个程序员过滤上的问题,请记住,所有的cgi程序都有这样的bug。
1.找出bug:
为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的文件。在php里,我们使用include()函数,它的工作流程:
如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。
我们先看这个,当用户输入通过后就包含文件,也就是
CODE:
if ($_GET[page]) {
include $_GET[page];
} else {
include "home.php";
}
这种结构在动态网站里是常见的,问题是它允许这样
http://www.target.com/explame.php?page=main.php
或者
http://www.target.com/explame.php?page=downloads.php
来查看。无论如何,如果你的程序里有这样的bug也很悲哀了,只能怪你,尽管
最后
以上就是奋斗夕阳为你收集整理的php远程文件包含攻击,php远程文件包含漏洞的全部内容,希望文章能够帮你解决php远程文件包含攻击,php远程文件包含漏洞所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复