如果允許未經驗證的用戶輸入控制動態包含在 HTML 文件中的文件,會導致惡意代碼的執行。
許多現代網絡編寫語言都能夠在一個封裝的文件內包含附加的源文件,從而使代碼可以重用和模塊化。這種能力經常用于賦予應用程序標準外觀(應用模板),因而,人們可以共享各種功能而不需要借助編譯的代碼,或將代碼分解成較小的更好管理的文件。各個包含文件都會作為主文件的一部分進行解析,并采用相同的方式來執行。當未驗證的用戶輸入控制了所包含文件的路徑時,就會發生 File inclusion 漏洞。
示例:以下代碼采用了用戶指定的模板名稱,并將該名稱包含在要呈現的 HTML 頁面中。
...
ClientScript.RegisterClientScriptInclude("RequestParameterScript", HttpContext.Current.Request.Params["includedURL"]);
...
includedURL 提供一個惡意值,導致程序包含來自外部站點的文件,從而可以完全控制動態 include 指令。web.config,該文件可能會作為 HTML 輸出的一部分來呈現。更為糟糕的是,如果攻擊者能夠指定一條路徑來指向被自己控制的遠程站點,那么動態 include 指令就會執行由攻擊者提供的任意惡意代碼。
[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection
[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input
[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A3 Malicious File Execution
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3600 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3600 CAT II
[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 94, CWE ID 98
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.3
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.8
[10] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 094
[11] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Risky Resource Management - CWE ID 098
[12] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Risky Resource Management - CWE ID 829
[13] Standards Mapping - FIPS200 - (FISMA) SI