常见web漏洞利用与防御（常见36种WEB渗透测试漏洞描述及解决方法---文件包含漏洞）

漏洞描述：程序代码在处理包含文件时没有严格控制可以先把上传的静态文件，或网站日志文件作为代码执行，或包含远程服务器上的恶意文件，获取服务器权限，我来为大家科普一下关于常见web漏洞利用与防御?以下内容希望对你有帮助!

常见web漏洞利用与防御

漏洞描述：程序代码在处理包含文件时没有严格控制。可以先把上传的静态文件，或网站日志文件作为代码执行，或包含远程服务器上的恶意文件，获取服务器权限。

解决方法：

（1）严格检查变量是否已经初始化，严格检查include类的文件包含函数中的参数是否外界可控；

（2）对所有输入可能包含的文件地址，包括服务器本地文件及远程文件严格检查，参数中不允许出现../之类的目录跳转符；

（3）在客户端和服务段同时做数据的验证与过滤。