DVWA系列のCSRF&文件包含

Cross Site Request Forgery (跨站请求伪造):

File Inclusion(文件包含)

本地文件包含:

等级为low时代码为如下

直接../../robots.txt读取robots.txt文件

 

在linux下可访问/etc/passwd

 

远程文件包含:
本漏洞需要 php 开启
allow_url_fopen on
allow_url_include on
这两个函数,并且 magic_quotes_gpc = Off
尝试访问本地的一个phpinfo.php失败
 

等级为medium时代码为如下

 

在medium里面加了对http://和https://的过滤也就是防止对外部链接的文件包含对/etc/passwd的读取并不影响

原文地址:https://www.cnblogs.com/vincebye/p/6440551.html