文件包含漏洞—allow_url_fopen和allow_url_include详解
2023-06-13 09:12:26 时间
大家好,又见面了,我是你们的朋友全栈君。
文件包含漏洞_allow_url_fopen和allow_url_include详解
提要:在文件包含漏洞中,PHP脚本环境中php.ini文件中通常会涉及到这两个参数,两个参数的开启或关闭影响文件包含漏洞的利用。
1,参数简介:
allow_url_fopen参数(只影响RFI,不影响LFI)
简介:是否允许将URL(HTTP,HTTPS等)作为文件打开处理
allow_url_include参数(只影响RFI,不影响LFI) 简介:是否允许includeI()和require()函数包含URL(HTTP,HTTPS)作为文件处理
2,验证:
本地创建文件内容为<?php phpinfo?>的文件123.txt,
当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败:
当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功:
3,总结:
只有当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行
参考文章
allow_url_fopen 和 allow_url_include allow_url_include和allow_url_fopen 详解
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/160252.html原文链接:https://javaforall.cn
相关文章
- windows文件读取 xxe_XXE漏洞「建议收藏」
- 记一次Zip Slip任意文件写漏洞
- SSRF漏洞学习
- 常用的web漏洞扫描工具_系统漏洞扫描工具有哪些
- 实战 | 记一次5000美金的文件上传漏洞挖掘过程
- Lanproxy 任意文件读取漏洞 (CVE-2021-3019)漏洞利用
- 目录遍历漏洞
- 文件上传漏洞
- 利用 OLE 对象漏洞的 HWP 恶意文件浮出水面
- Thinkphp-v6版本漏洞复现
- 利用SQL注入漏洞实现MySQL数据库读写文件
- RCE-远程命令执行和代码执行漏洞-知识
- 包含漏洞-读写文件以及执行命令
- PHP 文件上传漏洞代码
- CVE-2019-2725 Weblogic 反序列化漏洞
- Discuz!X 3.4 任意文件删除漏洞分析
- 文件上传之.user.ini文件漏洞利用
- 打脸拜登,间谍软件正在利用零日漏洞
- Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
- Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现问题(漏洞预警)
- 对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞
- TEW-654TR路由器漏洞分析和挖掘
- PHP文件包含漏洞总结
- Oracle打补丁:不再害怕重大漏洞袭击(oracle打补丁)
- 可导致互联网出现大面积瘫痪的DNS漏洞
- 比雅虎泄露更严重!超85万台思科设备仍受“零日漏洞”影响
- 支付宝漏洞导致密码可被篡改?亲测难度不小
- PHP编程中的常见漏洞和代码实例