国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

文件包含漏洞利用和防御

2年前作者：c1o22分類：Toy博客閱讀(61)違法舉報

這篇具有很好參考價值的文章主要介紹了文件包含漏洞利用和防御。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

文件包含漏洞

使用函數(shù)包含指定文件的代碼，沒對函數(shù)的參數(shù)進行過濾，可被用戶控制包含惡意文件并執(zhí)行代碼文章來源地址http://www.zghlxwxcb.cn/news/detail-432299.html

漏洞分類
本地文件包含：目錄遍歷、任意文件讀取、包含日志文件getshell、圖片馬getshell、偽協(xié)議讀取文件/命令執(zhí)行、包含phpinfo上傳的臨時文件
遠程文件包含：遠程木馬getshell(需要allow_url_fopen和allow_url_include都是on)
漏洞挖掘
URL參數(shù)名出現(xiàn)了page、file、filename、include等關(guān)鍵字；URL參數(shù)值出現(xiàn)了文件名，如xx.php、xx.html等
漏洞利用
發(fā)現(xiàn)漏洞->上傳shell或讀取敏感文件(FUZZ)->執(zhí)行惡意代碼
漏洞修復(fù)
PHP配置中的allow_url_fopen和allow_url_include改為off
禁用動態(tài)包含
過濾協(xié)議、目錄字符
設(shè)置包含文件白名單

PHP相關(guān)函數(shù)

函數(shù)	作用
include	包含并運行文件
include_once	只包含并運行文件一次，不重復(fù)包含
require	包含并運行文件，出錯時終止運行
require_once	只包含并運行文件一次，出錯時終止運行
fopen	打開文件或URL
readfile	讀取文件并寫入輸出緩沖
highlight_file	語法高亮一個文件
show_source	語法高亮一個文件
file_get_contents	把整個文件讀入一個字符串
file	把文件讀入一個數(shù)組中

PHP偽協(xié)議

協(xié)議	作用
file://	訪問本地文件系統(tǒng)
http://	訪問HTTP(s)網(wǎng)址
ftp://	訪問FTP(s) URLs
php://	訪問各個輸入/輸出流
zlib://	壓縮流
data://	數(shù)據(jù)流
glob://	查找匹配的文件路徑模式
phar://	PHP歸檔
ssh2://	secure shell 2
rar://	RAR
ogg://	音頻流
expect://	處理交互式的流

到了這里，關(guān)于文件包含漏洞利用和防御的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

API接口漏洞利用及防御
API是不同軟件系統(tǒng)之間進行數(shù)據(jù)交互和通信的一種方式。API接口漏洞指的是在API的設(shè)計、開發(fā)或?qū)崿F(xiàn)過程中存在的安全漏洞，可能導(dǎo)致惡意攻擊者利用這些漏洞來獲取未授權(quán)的訪問、篡改數(shù)據(jù)、拒絕服務(wù)等惡意行為。 API（Application Programming Interface，應(yīng)用程序編程接口）是不同
2024年02月12日
瀏覽(16)
遠程代碼執(zhí)行漏洞的利用與防御
全稱：remote command/code execute 分為遠程命令執(zhí)行和遠程代碼執(zhí)行 1.命令執(zhí)行漏洞：直接調(diào)用操作系統(tǒng)命令 2.代碼執(zhí)行漏洞：靠執(zhí)行腳本代碼調(diào)用操作系統(tǒng)命令一般出現(xiàn)這種漏洞，是因為應(yīng)用系統(tǒng)從設(shè)計上需要給用戶提供指定的遠程命令操作的接口，比如我們常見的路由器、防
2024年02月15日
瀏覽(29)
【文件上傳漏洞-01】文件上傳漏洞及其防御
文件上傳，顧名思義就是上傳文件的功能行為，之所以會發(fā)展成危害性嚴重的漏洞，是因為程序沒有對訪客提交的數(shù)據(jù)進行檢驗或者過濾不嚴，可以直接提交修改過的數(shù)據(jù)繞過擴展名的檢驗。文件上傳漏洞是漏洞中最為簡單的利用形式，一般只要能上傳獲取地址，導(dǎo)致可執(zhí)行
2024年02月09日
瀏覽(22)
MS17-010漏洞攻擊與防御（利用永恒之藍攻擊Win7系統(tǒng)）
任務(wù)1?利用永恒之藍攻擊Win7系統(tǒng) 在Kali終端中輸入命令“msfconsole ”，啟動Metasploit；輸入命令“use auxiliary/scanner/smb/smb_ms17_010”，加載掃描模塊；輸入命令“set RHOSTS 192.168.0.6”，設(shè)置需要被掃描的目標主機地址；輸入命令“run”，進行掃描并觀察是否存在該漏洞 ? 輸入命令“
2024年02月05日
瀏覽(28)
Web安全漏洞介紹及防御-文件上傳漏洞
??博客主頁：舉杯同慶 – 生命不息，折騰不止 ??訂閱專欄：『Web安全』 ??如覺得博主文章寫的不錯，或?qū)δ阌兴鶐椭脑?，請多多支持呀???關(guān)注?、點贊??、收藏??、評論。話題討論中國經(jīng)濟周刊-2022-07-08 新聞萬豪國際集團證實了近期一起數(shù)據(jù)泄露事件，一個月
2024年02月02日
瀏覽(23)
文件上傳漏洞的原理、危害及防御
Web應(yīng)用程序通常會有文件上傳的功能,?例如在?BBS發(fā)布圖片?,?在個人網(wǎng)站發(fā)布ZIP?壓縮?包,?在辦公平臺發(fā)布DOC文件等?, 只要?Web應(yīng)用程序允許上傳文件,?就有可能存在文件上傳漏?洞. 什么樣的網(wǎng)站會有文件上傳漏洞? 大部分文件上傳漏洞的產(chǎn)生是因為Web應(yīng)用程序沒有對上傳
2024年02月05日
瀏覽(15)
PHP文件上傳漏洞原理以及防御姿勢
0x00 漏洞描述 ? 在實際開發(fā)過程中文件上傳的功能時十分常見的，比如博客系統(tǒng)用戶需要文件上傳功能來上傳自己的頭像，寫博客時需要上傳圖片來豐富自己的文章，購物系統(tǒng)在識圖搜索時也需要上傳圖片等，文件上傳功能固然重要，但是如果在實現(xiàn)相應(yīng)功能時沒有注意安全
2024年02月02日
瀏覽(22)
文件包含漏洞及漏洞復(fù)現(xiàn)
程序開發(fā)人員通常會把可重復(fù)使用函數(shù)或語句寫到單個文件中，形成“封裝”。在使用某個功能的時候，直接調(diào)用此文件，無需再次編寫，提高代碼重用性，減少代碼量。這種調(diào)用文件的過程通常稱為包含。程序開發(fā)人員都希望代碼更加靈活，所以會把被包含的文件的路徑設(shè)
2024年02月10日
瀏覽(22)
DVWA之文件包含漏洞
1、什么是文件包含程序開發(fā)人員一般會把重復(fù)使用的函數(shù)寫到單個文件中，需要使用某個函數(shù)時直接調(diào)用此文件，而無需再次編寫，這中文件調(diào)用的過程一般被稱為文件包含。 2、文件包含漏洞程序開發(fā)人員一般希望代碼更靈活，所以將被包含的文件設(shè)置為變量，用來進行
2024年02月04日
瀏覽(15)
【web安全】文件包含漏洞
目錄 1.什么是文件包含漏洞 2.產(chǎn)生原因 3.文件包含的類型 3.1本地文件包含 3.2遠程文件包含 4.攻擊利用手法 4.1 file:協(xié)議 4.2 php://協(xié)議 ?4.3 zip://,bzip2://,zlib://協(xié)議? 4.4 data://協(xié)議 4.5 PHP偽協(xié)議總結(jié)? 5.如何防御？ 6.常見系統(tǒng)的默認路徑 7.文件包含漏洞的奇技淫巧 LFI+日志文件gets
2024年02月07日
瀏覽(23)

<legend id="rme53"><progress id="rme53"><option id="rme53"></option></progress></legend>