大学课程《电力行业信息安全与攻防技术》教学PPT课件：[5.1.4]伪协议.pptxVIP

远程文件包含漏洞

任务导入任务目标任务讲解任务总结

伪协议的应用

伪协议应用作为非传统网络协议，能通过URL形式直接执行特定操作，在渗透测试中常被用于读取敏感数据。在电力行业系统开发过程中，必须时刻保持对这类潜在漏洞的高度警觉，这是每位信息安全从业者的基本职业操守。这类技术若被恶意利用，可能导致数据库信息泄露等重大风险。

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标掌握伪协议的工作机制及其与文件包含漏洞的关联能够实操演示filter伪协议读取源码的全过程培养对系统安全配置的敏感性

任务导入任务目标任务讲解任务总结

特殊URL方案，直接执行操作或访问资源，绕过常规网络通信。通常用于数据嵌入、模拟输入等特定场景，可能与文件包含漏洞相关，存在安全隐患，需谨慎使用。伪协议定义安全风险关联伪协议概念与安全风险

远程文件包含漏洞伪协议类型伪协议描述allow_url_fopen参数要求allow_url_include参数要求php://filter对数据进行过滤或转换的伪协议，常与特定的过滤器函数结合使用。on/offon/offphp://input模拟用户输入的伪协议，可用于自动化测试或模拟用户交互。on/offonphp://data用于在URL中嵌入数据，如文本、图像、音频等，减少HTTP请求。on/offon文件包含漏洞中常见的伪协议类型对应在php.