https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Remote_File_InclusionRemote File Inclusion - Versionsgeschichte2026-05-18T07:18:10ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Remote_File_Inclusion&diff=933673&oldid=previmported>SchlurcherBot: Bot: http → https2025-06-12T14:24:44Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>Der Begriff '''Remote File Inclusion''' beschreibt eine [[Sicherheitslücke (Software)|Sicherheitslücke]] in [[Skriptsprache|Skript]]-basierten [[Webanwendung]]en, die es einem Angreifer ermöglicht, unkontrolliert [[Maschinensprache|Programmcode]] in den [[Webserver]] einzuschleusen und dort auszuführen.<ref>{{Internetquelle |url=http://projects.webappsec.org/w/page/13246955/Remote%20File%20Inclusion |titel=The Web Application Security Consortium / Remote File Inclusion |abruf=2019-10-03}}</ref><br />
<br />
Gebräuchlich ist der Begriff ''Remote File Inclusion'' im Zusammenhang mit der Skriptsprache [[PHP]], trifft jedoch auch auf andere [[Skriptsprache]]n zu, die ähnliche Fähigkeiten wie PHP bieten.<br />
<br />
== PHP betreffende Erläuterung ==<br />
<br />
Die PHP-Anweisungen <code>include</code> und <code>require</code> (sowie <code>include_once</code> und <code>require_once</code>) dienen zum Einbinden von zusätzlichen PHP-Skriptdateien in das laufende Skript. Die Sicherheitslücke entsteht, wenn Benutzereingaben ungenügend geprüft als Parameter für diese Anweisung verwendet werden. Das kann dazu führen, dass ungewollte PHP-Skriptdateien ausgeführt werden. Im schlimmsten Fall kann ein Angreifer damit sogar Programmcode, der von einem fremden Webserver ausgeliefert wird, zur Ausführung bringen.<br />
<br />
Da die Sicherheitslücke durch Schwachstellen in der Programmierung entsteht, kann nur eine Änderung des Skriptes Abhilfe schaffen. PHP selbst bietet zudem die Konfigurationsoption <code>allow_url_fopen</code><ref>http://docs.php.net/manual/de/filesystem.configuration.php#ini.allow-url-fopen</ref> an, mit der das Öffnen von URLs verboten werden kann, was aber auch gleichzeitig andere Funktionen einschränkt. In PHP 5.2 ist deshalb die Konfigurationsoption <code>allow_url_include</code><ref>http://docs.php.net/manual/de/filesystem.configuration.php#ini.allow-url-include</ref> hinzugekommen, mit der separat nur das Einbinden und Ausführen entfernter Ressourcen mittels der genannten PHP-Anweisungen verboten werden kann.<br />
<br />
Siehe auch: [[Directory Traversal]]<br />
<br />
== Weblinks ==<br />
*[http://docs.php.net/manual/de/features.remote-files.php PHP-Handbuch: Zugriff auf entfernte Dateien]<br />
*[https://www.webmaster-tipps.de/php-sicherheit-local-file-inclusion-und-remote-file-inclusion/ Advanced File Inclusion]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Sicherheitslücke]]</div>imported>SchlurcherBot