PHP網站路徑泄漏網站異常頁面導致服務器路徑泄漏
發布時間:2024-03-07
漏洞名稱:網站異常頁面導致服務器路徑泄漏
危險等級:★★★☆☆(中危)
披露時間:未知
漏洞描述:由于異常頁面(如404、500或其他錯誤頁面),在報錯信息中包含了你的服務器上的物理路徑。本地路徑泄漏漏洞允許惡意攻擊者獲取服務器上的WEB根目錄的全路徑(通常在出錯信息中),通過此漏洞可以推斷出其它資源在服務器上的本地路徑,配合其它漏洞,惡意攻擊者就有可能實施進一步的攻擊。
解決方案:
1、如果WEB應用程序自帶錯誤處理/管理系統,請確保功能開啟;否則按語言、環境,分別進行處理。
2、如果是PHP應用程序/Apache服務器,可以通過修改php腳本、配置php.ini以及httpd.conf中的配置項來禁止顯示錯誤信息;
php.ini中的配置行: display_errors = off
httpd.conf/apache2.conf中的配置行: php_flag display_errors off
3、有些虛擬主機不支持修改配置文件,那么我們可以修改php腳本文件,找到漏洞所在的php在第一行增加代碼: ini_set('display_errors' false);
4、如果是IIS環境可以在網站根目錄新建web.config文件,內容如下:<?xm
如果已經存在web.config,那么只需要在標簽中添加以下代碼即可;
解析:中的紅色部分表示禁止顯示詳細錯誤,替換為Detailed則表示顯示詳細錯誤。
關注我們
微信小程序
抖音小程序