常见web漏洞利用与防御(常见36种WEB渗透测试漏洞描述及解决方法---文件包含漏洞)

漏洞描述:程序代码在处理包含文件时没有严格控制可以先把上传的静态文件,或网站日志文件作为代码执行,或包含远程服务器上的恶意文件,获取服务器权限,我来为大家科普一下关于常见web漏洞利用与防御?以下内容希望对你有帮助!

常见web漏洞利用与防御(常见36种WEB渗透测试漏洞描述及解决方法---文件包含漏洞)

常见web漏洞利用与防御

漏洞描述:程序代码在处理包含文件时没有严格控制。可以先把上传的静态文件,或网站日志文件作为代码执行,或包含远程服务器上的恶意文件,获取服务器权限。

解决方法:

(1)严格检查变量是否已经初始化,严格检查include类的文件包含函数中的参数是否外界可控;

(2)对所有输入可能包含的文件地址,包括服务器本地文件及远程文件严格检查,参数中不允许出现../之类的目录跳转符;

(3)在客户端和服务段同时做数据的验证与过滤。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页