PHP 원격 파일 포함
설명
서버는 PHP 원격 파일 포함(RFI) 취약점이 있어 공격자들이 원격 파일을 로드하고 해당 파일을 서버 측에서 PHP 스크립트로 실행할 수 있습니다. 이 취약점은 신뢰할 수 없는 사용자 입력이 적절한 유효성 검사 없이 스크립트 포함에 직접 사용될 때 발생합니다. 공격자들은 이 취약점을 사용하여 임의의 원격 파일을 포함하고 실행하여 시스템의 무결성과 기밀성을 침해할 수 있습니다.
복구
사용자 제어 데이터를 include 및 require 문에서 직접 사용하는 대신 동적으로 스크립트를 포함하기 위해 허용 목록 접근 방식을 고려해야 합니다.
가능하다면, 서버의 PHP 구성에서 allow_url_include=Off을 설정하여 URL을 include 및 require 문에 사용할 수 없도록 하는 것도 고려해보세요.
Details
| ID | 집약 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 98.1 | false | 98 | 활성 | 높음 |
도움말