Für Anwender:

Bei der File-Inclusion- und der Directory-Traversal-Attacke ist der Endnutzer darauf angewiesen, dass der Webseitenbetreiber die bekannten Angriffspunkte durch Maßnahmen schützt. Der Webseitenbenutzer kann sich nur im geringen Maße schützen. Deshalb sollten nur Webseiten von vertrauensvollen Betreibern besucht und genutzt werden. Falls Sie unsicher sind, fragen Sie gern bei dem jeweiligen Webseitenbetreiber nach.

Falls Sie von einer File-Inclusion- und/oder einer Directory-Traversal-Attacke erfahren, dann melden Sie diese umgehend dem Betreiber und der Polizei.

Für Webentwickler:

Keine sensiblen Daten innerhalb des Web-Root-Verzeichnisses speichern.

Genaue Konfiguration des Webservers, um Unbefugten den Zugriff zu verweigern.

Der Server sollte Zugang zu Ordnern mit sensiblen Daten schützen.

Verhindern, dass von außen auf Seiten navigiert werden kann, die im Root-Ordner liegen (Mechanismus chroot).

Anzeige von Dateien blockieren, die in Verzeichnissen liegen, bei denen es keine Index-Datei gibt (Directory-Browsing).

Informieren Sie über aktuelle Schwachstellen.

Löschen Sie überflüssige Elemente, wie überflüssige Script Interpreter, Möglichkeiten der Konfiguration und alte Verzeichnisse oder Dateien.

Der Server sollte dynamische Seiten richtig interpretieren.

Seiten, die im HTTPS-Modus verfügbar sind, sollten nicht im HTTP-Modus aufgerufen werden können.

Setzen Sie moderne Web-Application-Firewalls ein.

Säubern Sie den erhaltenen Input (Absichern/Überprüfen des Inputs).

Nur Nummern und Zeichen, wie (A-Z) und (0-9) als Nutzereingabe akzeptieren.

Das Einbinden von Dateien nur von einem bekannten Verzeichnis erlauben, um Directory-Traversal zu unterbinden.