信息泄漏–物理路径泄露
访问某网址时在其后面随意加了一个参数。
1.如果参数错误,返回内容什么都没有,只告诉你出错 ,则说明无信息可利用。
2.如果参数错误,返回内容有物理路径,则攻击者可以利用该物理路径攻击服务器
对于物理路径泄漏问题,可能由以下几个原因导致:
1.开发者未关闭debug模式,导致参数错误时进入debug调试模式,将敏感信息泄露
2.开发者未考虑参数错误问题,导致参数错误时进入未知界面(未知界面包含物理路径敏感信息)
有以下几个修复方案:
1.将debug模式关闭
2.对于参数错误问题,定义一个专有的参数错误返回界面(其中不包含任何敏感信息)
3.对于参数错误无法关闭含有物理路径等敏感信息的服务,将其移至内网,防止他人利用