初学者指南——文件包含（LFI RFI）（初学者指南：文件包含漏洞（LFI RFI））

初学者指南：文件包含漏洞（LFI RFI）
什么是文件包含漏洞？
文件包含漏洞（LFI 和 RFI），是网络安全领域中常见的一种漏洞，它的发现率极高。LFI表示本地文件包含漏洞，用户可以通过Web根目录下的一个脚本或者页面，会带有一个文件名或文件路径参数，例如：http://www.website.com/index.php?page=about_us.php。除了一些指定的特定文件，其他任何文件都可以在这个层级中被访问到，包括Linux下的/etc/passwd、Windows下的C:\\Windows\\System32\\drivers\\etc\\hosts。RFI表示远程文件包含漏洞，通俗来讲，可以理解为黑客可修改到服务器中，而SLI是直接修改本地文件存取。
如何检测文件包含漏洞？
一般的漏洞扫描器本身都集成了LFI和RFI的检测功能，比如acunetix、nessus等。也可以使用手动检测方法，检测流程如下：
1. 确定路由器版本号。
2. 枚举所有参数。
3. 查看目标网站嵌入的链接和javascript异域框架。
4. 打开浏览器，绕过路由器功能，直接查看路径。
5. 使用目录遍历攻击检测漏洞。在熟悉框架中，还可以采用通过webshell，或是通过脚本抓取等方式进行检测。
如何预防文件包含漏洞？
当确认你的网站存在该漏洞之后，第一步应该是停止相关文件的运用，而不是盲目下载文件补丁。通过防火墙设置，限制上传文件的大小、类型、数量、后缀，这些都有助于预防无需文件包含缺陷，毕竟大多情况下是不可能完全避免文件上传漏洞的。
当然，在建立项目时就应该遵循一些准则，比如：
1. 尽可能使用绝对路径。
2. 尽可能使用readfile()和include()。
3. 需要获取用户输入时，应该尽可能减少输入字段的范围。
4. 编写代码只访问应该访问的文件和目录，而不是所有文件。
结语：
文件包含漏洞是非常危险的漏洞类型，由于实现模式简单，因此很容易遭受攻击。对于初学者来说，一定要重视安全漏洞的修复和预防工作，这有助于维护网站的稳定和安全。同时，在寻求帮助之前，自己也应该先尝试使用工具检查漏洞，增强自身技能水平，从技术根源上解决问题。