文件包含漏洞

1 本地文件包含（LFI）

漏洞描述：

文件包含函数加载的参数没有经过

漏洞案例：

访问测试网站

对存在漏洞的页面进行抓包，并构建恶意payload

2 远程文件包含（RFI）

漏洞描述：

远程文件包含就是允许攻击者包含一个远程的文件,一般是在远程服务器上预先设置好的脚本

(1) 无限制远程文件包含漏洞

无限制远程文件包含是指包含文件的位置并不是在本地服务器，而是通过URL的形式包含其他服务器上的文件，执行文件中的恶意代码。

(2) 有限制远程文件包含漏洞