大学课程《电力行业信息安全与攻防技术》教学PPT课件：[5.1.2]本地文件包含漏洞.pptxVIP

本地文件包含漏洞

任务导入任务目标任务讲解任务总结

源于开发者未对用户输入的文件名进行过滤，允许攻击者通过目录遍历获取服务器上的敏感文件。可能导致配置文件、日志甚至系统凭证泄露，直接影响电网运行的稳定性。漏洞成因：未过滤用户输入潜在危害：敏感文件泄露本地文件包含（LFI）

技术问题守护国家关键基础设施的责任担当警示

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标掌握本地文件包含漏洞的原理和攻击方式能够建立针对文件包含漏洞的防御措施培养在电力系统开发中安全第一的编码意识

任务导入任务目标任务讲解任务总结

LFI概念允许攻击者通过Web应用加载服务器上的任意文件。攻击目标包括应用文件及服务器上其它资源，暴露系统信息或执行代码。本地文件包含（LFI）概述

1、本地文件包含实验

1、本地文件包含实验首先我们来创建一个名为include.php的文件：?phpif(isset($_GET[submit])$_GET[filename]!=null){$filename=$_GET[filename];includeinc/$filename;//变量传进来直接包含,没做任何的安全限制}?htmlheadtitle文件包含/title/headbodyformmethod=GETaction=labelform=filena