File Inclusion

※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. 

File Inclusion

정의

• 공격자가 웹 어플리케이션에 자신의 파일(또는 코드)을 삽입하는 공격
• Server Side 공격 기법

File Upload와 차이점

• 직접 파일을 업로드하지 않아도 외부 url을 입력해서 다른 서버에 있는 공격코드를 삽입할 수 있다.

공격 목적

• 권한 밖의 데이터 열람 ( /etc/passwd )
• 시스템 내부 명령 실행 ( ls, halt )
• 악성코드 유포

공격 방법

• 취약하게 개발된 웹 페이지의 변수를 조작해 해커가 원하는 내용(파일, 코드 등)을 웹 페이지 내에 포함
• 검증되지 않은 사용자 입력 정보 ( url, parameter 등 )를 include, require 함수의 인자로 사용될 때 발생
• 사용자가 권한 밖의 파일, 서버 외부( allow_url_include 설정을 켠 경우에만 )의 악성코드 등을 페이지에 포함시켜 열람 할 수 있음

include / require 함수

• 스크립트 언어를 통한 웹 페이지 개발 시 편의를 위해 웹 페이지에 서버 내/외부의 파일을 불러올 때 사용됨
• Header, footer와 같이 페이지 내에 일률적으로 포함되는 내용에 자주 사용됨