文件包含（LFI RFI）初学者指南

文件包含（LFI RFI）初学者指南
随着互联网的飞速发展，越来越多的人开始学习网络安全知识，其中文件包含漏洞是最常见、也是最基础的漏洞之一。文件包含漏洞可以分为本地文件包含（LFI）和远程文件包含（RFI），今天我们将为您介绍这两种漏洞的概念、原理、攻击方式和防御方法。
一、本地文件包含（LFI）
本地文件包含（Local File Inclusion，简称LFI），就是利用程序处理用户输入路径的时候，由于没有对输入进行足够的过滤和验证，导致攻击者可以通过构建恶意的路径让应用程序载入自己所期望的文件，从而执行非预期的操作。攻击者可以借助LFI漏洞获取服务器敏感文件或者执行恶意代码。
1、攻击方式
常见的LFI攻击方式如下：
（1）使用绝对路径
攻击者在URL参数中使用绝对路径来获取web目录下的任意文件，例如：
http://www.example.com/index.php?page=/etc/passwd
绝对路径是从根目录开始的路径，攻击者可以在URL参数中传入/etc/passwd这样的路径，使服务器加载此文件并将内容返回给攻击者。
（2）使用相对路径
攻击者可以通过使用相对路径的方法来获取web目录下的文件，例如：
http://www.example.com/index.php?page=../../../../var/log/apache2/access.log
此时攻击者通过输入/../等路径，绕过了应用程序对../的检查而获取到了access.log文件。
2、防御方法
（1）永远不要相信用户的输入，将用户输入验证过滤后再作为对文件路径的处理。
（2）避免使用可变的输入直接作为文件路径或者文件名等关键操作参数。
（3）限制要读取的文件范围，避免一些敏感文件被恶意访问和泄漏。
（4）配置服务器以限制用户能够访问的目标范围。
二、远程文件包含（RFI）
远程文件包含（Remote File Inclusion，简称RFI），是指攻击者利用漏洞直接将公网上的任意脚本代码包含到web应用中去执行，从而达到控制服务器的目的。这类漏洞滥用起来非常方便，攻击者甚至不用在网站根目录部署服务器脚本。
1、攻击方式
常见的RFI攻击方式如下：
（1）URL追踪
通过构造特殊的URL地址使目标网络将恶意代码当成页面片段来请求并执行，例如：
http://www.example.com/index.php?page=http://www.example.com/evil.txt
攻击者将恶意链接传递给目标，然后在目标服务器上访问这个链接，这样目标服务器会把evil.txt文件中的内容解析成脚本执行，造成了远程代码执行漏洞。
（2）cookie欺骗
攻击者通过伪造cookie，将其值设置为远程攻击者控制的可执行代码，继而通过目标应用程序的文件包含函数包含该cookie，导致恶意代码被执行。
2、防御方法
（1）限制执行代码的范围，只允许访问正常的代码路径，并限制文件类型等。
（2）禁用远程文件包含函数，确保文件只从本地加载。
（3）通过白名单的方式进行合法url限制，只允许访问白名单内的网址。
（4）保持代码更新，避免使用PHP老版本，确保已经修复了已知的漏洞。
结语：
文件包含漏洞虽然是比较常见而且基础的漏洞，但是由于其利用方式灵活多样，所以在应用程序中依然会存在安全威胁。为了防止此类漏洞给我们带来损失，我们需要及时修补漏洞，并加强安全防护措施。