PHP 원격 파일 포함
설명
서버는 PHP 원격 파일 포함(PHP Remote File Inclusion, RFI)에 취약하며, 이는 공격자가 원격 파일을 로드하고 서버 측에서 PHP 스크립트로 실행할 수 있게 합니다. 이 취약점은 신뢰할 수 없는 사용자 입력이 적절한 검증 없이 스크립트 포함에 직접 사용될 때 발생합니다. 공격자는 이 취약점을 이용하여 임의의 원격 파일을 포함하고 실행할 수 있으며, 시스템의 무결성과 기밀성을 훼손할 수 있습니다.
수정 방안
include
및 require
문에 사용자 제어 데이터를 직접 사용하지 않도록 피하고, 대신 스크립트를 동적으로 포함할 때 허용 목록 접근 방식을 고려하세요.
가능하다면, 서버의 PHP 구성에서 allow_url_include=Off
를 설정하여 include
및 require
문에서 URL을 사용할 수 없도록 하는 것도 고려하세요.
세부정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
98.1 | false | 98 | Active | high |