PHP 원격 파일 삽입

PHP 원격 파일 삽입(RFI) 취약점에 대한 설명, 조치 방법 및 세부 정보를 제공합니다.

설명 # 서버가 PHP 원격 파일 삽입(RFI, Remote File Inclusion) 취약점에 노출되어 있으며, 이를 통해 공격자는 원격 파일을 로드하여 서버 측에서 PHP 스크립트로 실행할 수 있습니다. 이 취약점은 신뢰할 수 없는 사용자 입력이 적절한 검증 없이 스크립트 포함 구문에 직접 사용될 때 발생합니다. 공격자는 이 취약점을 악용하여 임의의 원격 파일을 포함 및 실행할 수 있으며, 이로 인해 시스템의 무결성과 기밀성이 침해될 수 있습니다. 조치 방법 # include 및 require 구문에 사용자가 제어하는 데이터를 직접 사용하지 않도록 하고, 대신 동적으로 스크립트를 포함할 때 허용 목록(allow-list) 방식을 사용하는 것을 고려하십시오. 가능하다면, 서버의 PHP 설정에서 allow_url_include=Off 로 설정하여 include 및 require 구문에 URL이 사용되지 않도록 하는 것도 고려하십시오. 세부 정보 # ID 집계 CWE 유형 위험도 9