下面是对任意文件漏洞读取的简单总结:
任意文件读取漏洞
相关web语言
1、php
如
文件读取函数:
file_get_contents()、file()、fopen()、 fread()、 fgets()、 readline()等等
文件包含相关函数:
include、require、include_once、require_once
通过php读文件的执行系统命令:
system、exec
还有php伪协议读取文件
2、python
如
os.path.join()函数
3、java
FileInputStream函数、XXE导致的文件读取,java一些模块也支持file://协议,在CTF很常见。
4、Ruby
与Rails框架相关
5、Node
Node.js的express模块。
中间件/服务器相关
文件读取漏洞常见读取路径
/etc/目录
/etc/passwd
/etc/shadow
等等
