会员登录 | 注册

来去留技术信息资源

来去留技术信息资源
来去留网 > 流行服务 > 网络应用 > 360网站检测 页面异常导致本地路径泄漏

360网站检测 页面异常导致本地路径泄漏

2014-03-17 12:53来源:未知发布者:laiquliu 查看:
360网站检测 页面异常导致本地路径泄漏

WASC Threat Classification

描述:

    由于页面异常(如404页面),在报错信息中包含了本地路径。

    1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
    2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。

危害:

    恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。

解决方案:

    1、由WEB应用程序实现自己的错误处理/管理系统;
    2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
    修改php.ini中的配置行: display_errors = off
    修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
    修改php脚本,增加代码行: ini_set('display_errors', false);
    3、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1

另外,很多虚拟主机无法修改php.ini以及httpd.conf中的配置,那么就用最后的修改php脚本的方法,直接找到相关的文件,打开后在最上面空白处加一行代码:
<?php ini_set('display_errors', false); ?>
保存后上传更新就ok了。

    PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在的,只要关闭服务器的显示报错即可。
(责任编辑:laiquliu)

关注技术,信息,资源,扫描来去留网微信二维码交流。

来去留我李俊

搜索

------分隔线----------------------------
相关栏目

热点推荐
来去留技术信息资源
来去留网为您提供平台咨询交流学习方法及各类热门技术;电器,服装,保健,行业快讯等二十几个类别的资讯