代码审计的艺术系列 第三篇

0x01 前言

接白帽子分享之代码审计的艺术系列 第二篇,这里讲一些函数的错误使用会引发SQL注入的场景以及二次注入漏洞产生的原因。如果没看之前的内容,建议先看看前两篇。

DVWA File Inclusion 通关教程

File Inclusion 介绍

File Inclusion,即文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数:include()require()include_once()require_once()等等,利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。