包含那些引用遠程文件的指令可能會造成攻擊者將惡意內容注入程序中。
如果啟用 allow_url_include 選項,會導致用于指定在當前頁面包含某個文件的 PHP 函數,如 include() 和 require(),接受指向遠程文件的 HTTP 或 FTP URL。該選項是在 PHP 5.2.0 中引入的,并且默認情況下被禁用,由于它可能會導致攻擊者將惡意內容引入程序中,因此具有危險性。最理想的情況是,攻擊者篡改了遠程文件來引入惡意內容,因此包含遠程文件導致應用程序容易受到攻擊。最糟糕的情況是,攻擊者控制了應用程序用來指定要包含的遠程文件的 URL,這樣一來,攻擊者就可以將一個 URL 提供給遠程服務器,從而可以將任意惡意內容注入應用程序中。
[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A10 Insecure Configuration Management
[2] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A3 Malicious File Execution
[3] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A6 Security Misconfiguration
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3600 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3600 CAT II
[6] Standards Mapping - FIPS200 - (FISMA) CM
[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 94
[8] M. Achour et al. PHP Manual
[9] PHP Security Consortium PhpSecInfo Test Information
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.5.3
[12] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 094