Dangerous File Inclusion

ABSTRACT

如果允許未驗證的用戶輸入控制動態包含在 PHP 中的文件，會導致惡意代碼的執行。

EXPLANATION

許多現代網絡編寫語言都能夠在一個封裝的文件內包含附加的源文件，從而使代碼可以重用和模塊化。這種能力經常用于賦予應用程序標準外觀（應用模板），因而，人們可以共享各種功能而不需要借助編譯的代碼，或將代碼分解成較小的更好管理的文件。各個包含文件都會作為主文件的一部分進行解析，并采用相同的方式來執行。當未驗證的用戶輸入控制了所包含文件的路徑時，就會發生 File inclusion 漏洞。

File inclusion 漏洞是各種 PHP 應用程序中最多見且最為嚴重的漏洞。在低于 PHP 4.2.0 的版本中，PHP 的安裝包附帶了默認啟用的 register_globals，從而使攻擊者很容易重寫內部服務器的各種變量。盡管禁用 register_globals 可以從一定程度上減少程序發生 file inclusion 漏洞的風險，但是這些問題仍然存在于各種現代的 PHP 應用程序中。

例 1：以下代碼包含了一個文件，該文件位于模板中定義 $server_root 的應用程序下。

...
<?php include($server_root .'/myapp_header.php'); ?$gt;
...

...
<?php include($_GET['headername']); ?$gt;
...

REFERENCES

[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection

[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input

[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A3 Malicious File Execution

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3600 CAT II

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3600 CAT II

[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 94, CWE ID 98

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.3

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.8

[10] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 094

[11] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Risky Resource Management - CWE ID 098

[12] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Risky Resource Management - CWE ID 829

[13] Standards Mapping - FIPS200 - (FISMA) SI

[14] The #1 Security Flaw in PHP Applications Apress Inside Open Source

[15] Using Register Globals PHP Guide