文件内容泄漏漏洞（文件包含漏洞）

攻击者可以通过文件内容泄漏漏洞（或文件包含漏洞）获取敏感文件的内容，或直接执行其指定的恶意脚本，进得Web服务器的控制权限。

1.文件内容泄漏漏洞（或文件包含漏洞）允许攻击者读取服务器中的任意文件，或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。
2.很多脚本语言允许通过特殊的指令（如PHP 通过require关键字）将其他脚本源码文件的内容合并至当前的文件中执行，如果这些特殊的指令在包含的文件路径中含有用户提交的数据，则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容（如操作系统或某些重要应用的配置文件）包含进来并通过浏览器获取其内容，这种方式通常称为本地文件包含；如果应用程序的配置还允许包含远程的其他服务器上的文件，恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行，进而获取WEB应用的敏感数据或控制权。

1、如果可能，使用包含指令时显式指定包含的文件名称；
2、如果必须通过用户的输入指定包含的文件，则最好分析用户的输入，然后从文件白名单中显式地选择；
3、请对用户的输入进行严格的过滤，确保其包含的文件在预定的目录中或不能包含URL参数。

暂无相关信息