1.1 KiB
1.1 KiB
title | localeTitle |
---|---|
Local File Inclusion | ادراج ملف محلي |
ادراج ملف محلي
ثغرة أمنية في التطبيق تسببها مبرمج تتطلب إدخال ملف يقدمه المستخدم ولا يعقم المدخلات قبل الوصول إلى الملف المطلوب. وينتج عن ذلك وجود ملف يتم تضمينه في مكان لا ينبغي أن يكون فيه.
مثال على هجمات تضمين الملف المحلي
يسمح لك موقع الويب بمشاهدة ملفات PDF على هيئة download.php?file=myfile.php
، نظرًا لعدم وجود فحص مناسب لمستخدم ضار قادر على طلب / etc / passwd والحصول على معلومات تكوين حساسة من خادم الويب.
الدفاع عن موقع الويب الخاص بك من هجمات تضمين الملف المحلي في PHP
<?php if(basename($_GET['file]) !== $_GET['file']) { die('INVALID FILE REQUESTED'); }