开发人员为提高代码重用性,会将可复用函数或语句写在单个文件中,使用时调用,此为文件包含。若开发时将被包含文件路径设为变量以动态调用,且 Web 应用未对该参数严格校验,使攻击者能控制被包含文件路径,就会产生文件包含漏洞。几乎所有脚本都有文件包含功能,在 PHP 的 Web 应用中较为常见。
2025年2月17日大约 3 分钟
开发人员为提高代码重用性,会将可复用函数或语句写在单个文件中,使用时调用,此为文件包含。若开发时将被包含文件路径设为变量以动态调用,且 Web 应用未对该参数严格校验,使攻击者能控制被包含文件路径,就会产生文件包含漏洞。几乎所有脚本都有文件包含功能,在 PHP 的 Web 应用中较为常见。
Web 文件上传漏洞指的是 Web 应用程序在处理用户上传文件的过程中,由于对上传文件的类型、大小、内容等方面缺乏严格有效的验证和过滤,导致攻击者能够上传恶意文件到服务器上,并可能进一步执行这些文件,从而对服务器系统和数据造成损害。