Remote File Inclusion
aus Wikipedia, der freien Enzyklopädie
Der Begriff Remote File Inclusion beschreibt eine Sicherheitslücke in PHP-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode auf dem Webserver auszuführen.
Die PHP-Anweisungen INCLUDE und REQUIRE dienen zum Einbinden extern gespeicherter Programmdateien in die laufende Anwendung. Die Sicherheitslücke entsteht, wenn ungenügend geprüfte Daten, die vom Benutzer eingegeben wurden, als Parameter für diese Anwendungen verwendet werden. Im schlimmsten Fall kann ein Angreifer damit sogar Programmcode, der auf einem fremden Webserver gespeichert ist, zur Ausführung bringen.
Da die Sicherheitslücke durch Schwachstellen in der Programmierung entsteht, kann nur eine Änderung der Anwendung Abhilfe schaffen. PHP selbst bietet Konfigurationsparameter an, welche die Wahrscheinlichkeit eines solchen Fehlers reduzieren.
Gebräuchlich ist der Begriff Remote File Inclusion im Zusammenhang mit der Skriptprache PHP, trifft jedoch auf andere Skriptsprachen zu, die ähnliche Fähigkeiten wie PHP bieten.
Siehe auch: Directory Traversal
