新的研究揭露遠程文件包含(Remote File Inclusion)的風險，這種漏洞可能給web服務器帶來比SQL注入更嚴重的威脅。

很多web服務器和內容管理平臺的常見功能是執行遠程文件包含(RFI)的功能，這種功能允許用戶簡單地上傳圖像或者文件。然而，根據云計算安全公司Incapsula的最新研究顯示，遠程文件包含可能成為現在網絡上最普遍的威脅。

Incapsula對六個月時間內其服務接受的大約5億web會話進行了檢查，并發現，其中25%可能受到基于RFI的攻擊向量的風險。相比之下，在同一時期內，只有23%的會話容易受到SQL注入攻擊的威脅。在RFI攻擊向量中，看似無害的文件或圖片上傳實際上可能包含某種形式的惡意有效載荷，這有可能導致攻擊者破壞服務器。

“遠程文件包含漏洞的數量非常多，”該公司聯合創始人Marc Gaffan表示，“這種漏洞可能帶來的損壞要遠遠超過SQL注入攻擊，在注入攻擊中，攻擊者只是針對數據庫。”在SQL注入攻擊中，惡意的代碼被“注入到”數據庫中，這在某些情況下，會使攻擊者能夠提取數據。而在遠程文件包含中，攻擊者可能可以獲得對網站的控制。

此外，Incapula的數據還發現，RFI攻擊者還在攻擊供應商已經修復的問題。例如，Incapsula報告發現，58%的RFI攻擊者在掃描容易受到TimThumb漏洞攻擊的網站，該漏洞首次打補丁是在2011年8月。TimThumb是一個圖片大小調整工具，通常用于流行的開源wordPress內容管理系統。

"Things are slow to get patched," Gaffan said.雖然TimThumb遠程文件包含漏洞利用了兩年前就修復的問題，但Incapsula發現，56%的RFI鏈接保持超過60天以上。

解決辦法

幫助緩解RFI風險的一種方法是確保服務器和應用程序已經及時修復了已知漏洞。

安全服務(例如云計算安全服務)還可以提供另一層潛在的防御層。抵御RFI的戰爭是一個貓捉老鼠的游戲。“編碼人員編寫代碼來‘消毒’輸入內容，而攻擊者則編寫新的shell來利用應用中的漏洞，”Gaffan表示，“這里并沒有快速解決的辦法，企業需要保護的范圍很廣泛，這使得企業幾乎不可能完全抵御RFI問題。”