Coders 征服安全：共享与学习系列-本地文件包含和路径遍历

与许多漏洞不同，利用本地文件包含和路径遍历过程实现恶意目的需要足够熟练的攻击者、相当长的时间，可能还需要一点运气。这并不是说这个漏洞可以忽视。熟练的攻击者可以使用它来攻击组织的内部文件，绘制目录结构，甚至窃取可用于危险的二次攻击的密码和用户信息。

在本集中，我们将学习：

• 黑客如何利用本地文件包含和路径遍历漏洞
• 为什么允许不受限制的本地文件包含和路径遍历可能很危险
• 可用于发现和解决此问题的策略和技术。

攻击者如何利用本地文件包含和路径遍历？

经典电视侦探哥伦布（Columbo）过去总是说：“再来一件事”，然后才提供可以破解手头案情的有价值的信息。这在当时似乎无关紧要，几乎总是被嫌疑人所忽视，但事实证明这无济于事。本地文件包含和路径遍历漏洞很像这样。

本地文件包含和路径遍历漏洞使用了大多数编程框架（如 ASP、JSP 和 PHP 脚本）中存在的动态文件包含机制。为了包含本地文件，攻击者将本地服务器上存在的文件名滑入 Web 应用程序的某个区域，例如标题或表单输入区域。应用程序照常处理主输入，但也会处理包含（页面）或类似命令。在路径遍历中，攻击者定义可疑文件的路径，通常使用点、点和斜杠 (../) 字符作为变量。这与哥伦布非常相似，因为黑客真的不在乎争论的第一部分。这只是他们在最后添加 “只剩一件事” 的一种手段。

无论哪种情况，攻击者通常都必须进行大量的反复试验。除非他们非常熟悉网站的结构，否则猜测路径配置和文件名可能需要很长时间。也就是说，大多数网站遵循特定的模式，并且具有或多或少相似的目录和文件名。因此，可能不会像您想象的那样花费很长时间。而且，鉴于这笔支出可能非常丰厚，一旦发现本地文件包含和路径遍历漏洞，黑客就会有很大的动机尝试利用这些漏洞。

为什么本地文件包含和路径遍历漏洞很危险？

本地文件包含和路径遍历漏洞很危险，因为它们可能允许攻击者访问敏感或关键文件。对于数据文件，危险在于黑客可能会获得一些有价值的东西，例如用户密码或其他个人信息。主要目标通常是密码或用户配置文件，因为这将提供对网站其余部分的访问权限。数据库也是主要目标。在最坏的情况下，本地文件包含和路径遍历漏洞可能允许攻击者窃取数据库的全部内容。

对于可执行文件，危险在于，获得访问权限可能允许攻击者进行恶意活动，例如破坏部分站点，甚至通过浪费系统资源发起某种类型的内部拒绝服务攻击。但是，危险的全部范围仅受攻击者的聪明才智和技能以及他们可以访问的目标服务器上已经存在的任何文件的限制。

消除本地文件包含和路径遍历构成的威胁

通过良好的网络安全实践，可以消除本地文件包含和路径遍历漏洞构成的危险。要记住的最重要的事情是永远不要允许用户在 “文件包含” 或其他具有类似功能的命令中输入。如果应用程序必须允许，请不要直接将其传递。改为使用间接参考地图。间接参考地图接受用户输入并将其映射到一组硬编码的可信值，然后可以安全地使用这些值。

与许多其他漏洞一样，请特别注意所有用户控制的输入区域，例如 cookie、HTTP 标头和表单参数。应将允许的输入列入白名单，其他所有内容都应明确拒绝。如果无法做到这一点，请使用输入验证来严格控制允许使用哪些值，例如数字、字母数字值等。

有关本地文件包含和路径遍历的更多信息

要进一步阅读，你可以看看 OWASP 测试指南 用于本地文件包含和路径遍历漏洞。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台，该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息，请访问 安全代码勇士博客。