PHP 원격 파일 포함

설명

서버는 PHP 원격 파일 포함(PHP Remote File Inclusion, RFI)에 취약하며, 이는 공격자가 원격 파일을 로드하고 서버 측에서 PHP 스크립트로 실행할 수 있게 합니다. 이 취약점은 신뢰할 수 없는 사용자 입력이 적절한 검증 없이 스크립트 포함에 직접 사용될 때 발생합니다. 공격자는 이 취약점을 이용하여 임의의 원격 파일을 포함하고 실행할 수 있으며, 시스템의 무결성과 기밀성을 훼손할 수 있습니다.

수정 방안

includerequire 문에 사용자 제어 데이터를 직접 사용하지 않도록 피하고, 대신 스크립트를 동적으로 포함할 때 허용 목록 접근 방식을 고려하세요.

가능하다면, 서버의 PHP 구성에서 allow_url_include=Off를 설정하여 includerequire 문에서 URL을 사용할 수 없도록 하는 것도 고려하세요.

세부정보

ID 집계 CWE 유형 위험
98.1 false 98 Active high

링크