开发者社区> 问答> 正文

通过360检测应用程序存在文件包含漏洞(Unix系统)

描述:
目标(Unix系统)应用程序可能存在文件包含漏洞。
1.文件包含漏洞允许通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。

2.很多脚本语言允许通过特殊的指令(如PHP 通过require关键字)将其他脚本源码文件的内容合并至当前的文件中执行,如果这些特殊的指令在包含的文件路径中含有用户提交的数据,则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容(如操作系统或某些重要应用的配置文件)包含进来并通过浏览器获取其内容,这种方式通常称为本地文件包含;如果应用程序的配置还允许包含远程的其他服务器上的文件,恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行,进而获取WEB应用的敏感数据或控制权。危害:
恶意攻击者可以通过文件包含漏洞获取敏感文件的内容或直接执行其指定的恶意脚本,进而获取对WEB应用本身的完全控制。解决方案:

1、如果可能,使用包含指令时显式指定包含的文件名称;
2、如果必须通过用户的输入指定包含的文件,则最好分析用户的输入,然后从文件白名单中显式地选择;
3、请对用户的输入进行严格的过滤,确保其包含的文件在预定的目录中或不能包含URL参数。
--------------------------------------------------
[table=100%,,,0][tr][td=1,1,100]漏洞名称:[/td][td]
应用程序存在文件包含漏洞(Unix系统)[/td][/tr][tr][td]漏洞风险:[/td][td]

1. 存在 "网站植入后门" 风险2. 安全性降低 40%
3. 全国 1% 网站有此漏洞,      [/td][/tr][tr][td]检测时间:[/td][td]
2013-02-20 20:15:05[/td][/tr][tr][td]漏洞证据:[/td][td]
root:x:0:0:root:/root:/bin/bash[/td][/tr][tr][td]漏洞地址:[/td][td]
/index.php?s=../../../../../../../../etc/passwd[/td][/tr][tr][td]解决方案:[/td][td]

1、如果可能,使用包含指令时显式指定包含的文件名称;
2、如果必须通过用户的输入指定包含的文件,则最好分析用户的输入,然后从文件白名单中显式地选择;
3、请对用户的输入进行严格的过滤,确保其包含的文件在预定的目录中或不能包含URL参数。------------------------------------------------------------[/td][/tr][/table]
上面的看不懂,不知道如何解决,请求解决方法

展开
收起
ancient 2013-02-25 15:57:30 8122 0
1 条回答
写回答
取消 提交回答
  • 楼主您好,从您的描述来看可能是您程序有漏洞,还请您自行详细排查解决。如需要技术支持,请由此 提交工单 谢谢~
    2013-02-26 10:20:19
    赞同 展开评论 打赏
问答分类:
问答标签:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载

相关实验场景

更多