文(wén)件包含漏洞是一種針對(duì)依賴于腳本運行時(shí)間的 Web 應用(yòng)程序的漏洞。當應用(yòng)程序使用(yòng)攻擊者控制的變量構建可執行代碼的路徑時(shí),一旦其允許攻擊者控制運行時(shí)執行哪個文(wén)件,則會(huì)引發該漏洞。文(wén)件包含漏洞會(huì)破壞應用(yòng)程序加載代碼的執行方式。該漏洞可被利用(yòng)在服務器上(shàng)遠程執行命令。攻擊者可以把上(shàng)傳的靜态文(wén)件或網站(zhàn)日志文(wén)件作(zuò)爲代碼執行,獲取服務器權限,并進一步篡改用(yòng)戶和(hé)交易數據,惡意删除網站(zhàn)等。
遠程文(wén)件包含(RFI)在 Web 應用(yòng)程序下(xià)載并執行遠程文(wén)件時(shí)發生。這(zhè)些(xiē)遠程文(wén)件通常以 HTTP 或 FTP URI 的形式,作(zuò)爲用(yòng)戶向 Web 應用(yòng)程序提供的參數而獲取。
本地文(wén)件包含(LFI)類似于遠程文(wén)件包含,除了(le)不包含遠程文(wén)件外(wài),隻有本地文(wén)件(當前服務器上(shàng)的文(wén)件)可以被包含用(yòng)于執行。通過包含一個帶有攻擊者控制數據(如 Web 服務器的訪問日志)的文(wén)件,仍然可以導緻遠程執行代碼。