漏洞描述
远程文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。
漏洞危害
攻击着可以利用该漏洞,在服务器上执行命令。
修复建议
对于PHP,建议配置php.ini关闭远程文件包含功能。E.g. allow_url_include = Off
修复实例参考
PHP漏洞代码示例:
- <?php
- $path=$_GET['arg'];
- include $path.'/filename.php';
- ?>
修复范例:
- <?php
- $path='/var/www/html/common.inc';
- include $path.'/filename.php';
- ?>
或者:在php.ini中进行如下配置:
allow_url_fopen=off
allow_url_include=off