上传者: u011062044
|
上传时间: 2022-06-17 18:00:08
|
文件大小: 263KB
|
文件类型: PPTX
安全隐患产生的原因
安全隐患产生原因
文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。
$_GET['filename']参数开发者没有经过严格的过滤,直接带入了include的函数,攻击者可以修改$_GET['filename']的值,执行非预期的操作。
1、漏洞产生原因
安全隐患产生原因
当应用满足以下两个条件时,就会产生文件包含漏洞。
①include 的文件名能够由外界指定
②没有校验 include 的文件名是否妥当
2、安全隐患产生原因
安全隐患产生原因
①#include <文件名>
将把该行替换为文件名指定的文件的内容。文件名不能包含>或换行符。
如果文件名包含字符 " ' \ 或 /* 则行为没有定义。
预处理器将在某些特定的位置查找指定的文件
3、文件包含include有三种形式的控制指令
如:在tc下 Options->Directories->Include directories:
可以设置include目录 (如:c:\TURBOC2\INCLUDE)
安全隐患产生原因
②#include "文件