常见36种WEB渗透测试漏洞描述及解决方法-文件包含漏洞

漏洞描述：程序代码在处理包含文件时没有严格控制。可以先把上传的静态文件，或网站日志文件作为代码执行，或包含远程服务器上的恶意文件，获取服务器权限。

解决方法：

（1）严格检查变量是否已经初始化，严格检查include类的文件包含函数中的参数是否外界可控；

（2）对所有输入可能包含的文件地址，包括服务器本地文件及远程文件严格检查，参数中不允许出现../之类的目录跳转符；