So verhindern Sie File-Inclusion-Angriffe mit PHP

Mit der rasanten Entwicklung des Internets sind Sicherheitsfragen zu einem wichtigen Thema geworden, das nicht ignoriert werden kann. File-Inclusion-Angriffe sind eine sehr häufige und gefährliche Angriffsmethode. Der Schlüssel liegt darin, dass Angreifer diese Schwachstelle ausnutzen können, um an vertrauliche Informationen auf dem Server zu gelangen. Daher ist die Verwendung von PHP zur Verhinderung von Dateieinschlussangriffen zu einem Problem geworden, das viele Entwickler lösen müssen.

1. File-Inclusion-Angriffe verstehen

File-Inclusion-Angriffe sind ein häufiger Web-Angriff und werden als eine der zehn größten Web-Sicherheitslücken von OWASP (Open Web Application Security Project) aufgeführt. Es kann in Local File Inclusion (LFI) und Remote File Inclusion (RFI) unterteilt werden.

Anfällig für LFI-Angriffe, wenn ungefilterte externe Daten zum Generieren von Dateipfaden verwendet werden. Der folgende Code verkettet beispielsweise einen vom Benutzer übermittelten Dateinamen mit einem Pfadnamen:

<?php
$file = '/home/user/'. $_GET['file'];
include($file);
?>

Ein LFI-Angriff tritt auf, wenn ein Benutzer Daten unter Verwendung eines relativen Pfads wie ../ bereitstellt.

RFI-Angriff bedeutet, dass der Angreifer seinen eigenen Remote-Code auf dem Server ausführen kann. Der folgende Code enthält beispielsweise eine vom Benutzer übermittelte URL direkt über die Funktion file_get_contents():

<?php
$url = $_GET['url'];
$content = file_get_contents($url);
echo $content;
?>

RFI-Angriffe treten auf, wenn ein Angreifer seine eigene bösartige URL bereitstellt.

2. LFI-Angriffe verhindern

Um LFI-Angriffe zu verhindern, müssen wir die vom Benutzer bereitgestellten Dateinamen und Pfade filtern. Die Verwendung absoluter Pfade ist eine gute Möglichkeit, LFI-Angriffe zu verhindern.

Das Folgende ist ein Beispiel für eine mögliche Filterung unter Verwendung eines Whitelisting-Ansatzes, einschließlich Dateinamen und Pfaden, die Folgendes enthalten dürfen:

<?php
$allowed_files = array("file1.php", "file2.php");
$allowed_paths = array("/path1/", "/path2/");

$file = $_GET['file'];
$path = $_GET['path'];

if (!in_array($file, $allowed_files) || !in_array($path, $allowed_paths)) {
    die("Access Denied");
}

include("/home/user/" . $path . $file);
?>

Die Verwendung eines Whitelisting-Ansatzes kann das Risiko von LFI-Angriffen verringern. Wenn Sie die Whitelist-Methode nicht verwenden möchten, können Sie auch die Methode zur Begrenzung der Dateitypen verwenden:

<?php
$file = $_GET['file'];

// 判断$file是否是php文件
if (!preg_match("/.php$/", $file)) {
    die("Access Denied");
}

include("/home/user/" . $file);
?>

Die Begrenzung der Dateitypen kann die Aufnahme anderer Dateitypen verhindern.

3. RFI-Angriffe verhindern

Um RFI-Angriffe zu verhindern, müssen wir die von Benutzern bereitgestellten URLs filtern. Bei Verwendung einer Whitelist sollte der Zugriff nur auf die von Ihnen angegebenen Remote-Server erlaubt sein. Sie können beispielsweise die Option „allow_url_fopen“ in der Datei „php.ini“ festlegen oder die Funktion „curl“ verwenden.

Hier ist ein Beispiel für die Verhinderung von RFI-Angriffen:

<?php
$url = $_GET['url'];

// 验证是否是信任的主机
if (!preg_match("/^http://(192.168.0.16|www.example.com)/", $url)) {
    die("Access Denied");
}

$content = file_get_contents($url);
echo $content;
?>

In diesem Beispiel beschränken wir den Verifizierungsprozess auf bestimmte Hosts.

4. Weitere Sicherheitsmaßnahmen bei der Verwendung von PHP

1. Deaktivieren Sie gefährliche Funktionen

Einige Funktionen können auf Systemdateien wie eval(), exec() usw. zugreifen, sodass sie leicht kontaminiert oder missbraucht werden können. Zur Verbesserung der Sicherheit sollten diese Funktionen deaktiviert werden.

2. PHP-Version

In älteren PHP-Versionen besteht ein höheres Risiko für Sicherheitslücken bei der Dateieinbindung. Daher ist die Aktualisierung Ihrer PHP-Version eine Möglichkeit, Schwachstellen zu reduzieren und die Sicherheit zu verbessern.

3. Berechtigungskontrolle

Um sicherzustellen, dass Dateien nur den Skripten oder Benutzern zur Verfügung stehen, die sie ausführen sollen, sollten geeignete Berechtigungskontrollen (wie Dateieigentum und Zugriffsrechte) verwendet werden.

Sicherheit muss also an erster Stelle stehen, wenn Webanwendungen mit PHP geschrieben werden. Durch geeignete Sicherheitsmaßnahmen wie die Verwendung von Whitelisting-Methoden, die Einschränkung von Dateitypen, die Deaktivierung gefährlicher Funktionen, die Aktualisierung von PHP-Versionen und die Verwendung von Berechtigungskontrollen kann das Risiko von File-Inclusion-Angriffen wirksam verringert werden.

Das obige ist der detaillierte Inhalt vonSo verhindern Sie File-Inclusion-Angriffe mit PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!