php配置信息泄露危害,ThinkPHP使用不当可能造成敏感信息泄露

最新推荐文章于 2024-03-01 20:33:35 发布
最新推荐文章于 2024-03-01 20:33:35 发布
阅读量487 收藏
点赞数
文章标签: php配置信息泄露危害

ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关的,所以影响应该很大吧

我们来看一下ThinkPHP3.2版本生成日志结构:

123.jpg

THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log

THINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log

可以看到是 :项目名\Runtime\Logs\Home\年份_月份_日期.log

这样的话日志很容易被猜解到,而且日志里面有执行SQL语句的记录,这里我随便找几个tp站测试一下:

http://demo.xxxxx.cc/Runtime/Logs/User/16_09_06.log 成功下载,并且找到一个用户的密码

log.jpg

成功登录:

233333.jpg

我们再找一个案例:http://www.xxxxxx.com/Runtime/Logs/Home/16_09_06.log

1234.jpg

成功登录:

31.jpg

onethink官网测试

http://www.onethink.cn/Runtime/Logs/16_09_07.log

修复办法:

删除Runtime/Logs下的所有文件,并将APP_DEBUG设置为false

好名被我起了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx配置PATHINFO隐藏thinkphp index.php
09-30
主要介绍了Nginx配置PATHINFO隐藏thinkphp index.php,本文直接给出配置示例,需要的朋友可以参考下
解析thinkphp基本配置 convention.php
10-27
本篇文章是对thinkphp基本配置 convention.php进行了详细的分析介绍,需要的朋友参考下
ThinkPHP漏洞详解(自学)
最新发布
m0_64481831的博客
03-01 1507
Thinkphp是一个快速、兼容而且简单的轻量级PHP开发框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。Thinkphp发展至今,主要有2.x、3.x、5.x、6.x系列,其中2.x和3.x系列官方已停止维护,5.x系列是目前使用最多的一个系列,而3.x系列比较多的老用户。
thinkphp3 与thinkphp5 日志信息泄露检测脚本.zip
02-20
thinkphp3 与thinkphp5 日志信息泄露检测脚本,亲测有效可用,如有侵权,请联系CSDN管理员删除即可
PHP网站路径泄漏,网站异常页面导致服务器路径泄漏
weixin_28756833的博客
03-19 522
漏洞名称:网站异常页面导致服务器路径泄漏危险等级:★★★☆☆(中危)披露时间:未知漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。解决方案:1、如果WEB应用程序...
ThinkPHP 报错页面信息泄露
go_213的博客
08-08 1441
漏洞描述 ThinkPHP 是一个简易快捷,兼容性强的 OOP MVC PHP 框架,支持 UTF-8 和多种类型的数据库。 ThinkPHP 报错页面存在漏洞,可能导致网站敏感信息泄漏。 修复方案 在 ThinkPHP 入口文件中,把APP_DEBUG参数设置为false。 注意:在修改前请做好备份,或为 ECS 建立硬盘快照。 ...
php显示地址栏携带的错误信息_修复网站提示PHP错误信息泄露的方法及代码
weixin_39871162的博客
12-06 268
今天想看看站点是否安全,于是用360网站漏洞检测网站:http://webscan.360.cn 扫描站点,发现网站检测出了 PHP错误信息泄露 漏洞,危险级别为高危。看到高危两个字,心里就不淡定了。马上到搜索引擎搜索答案并参考了360官方给出的解决方案,经过不断的修复扫描,终于解决了。下面小编就把解决的方法告诉大家,希望能对各位站长有用。提示PHP错误信息泄露,得分极低。 出现此问题的原因是通...
渗透测试涉及的Web常见漏洞及修复建议(较全)
欢迎来到D的博客!
01-23 1450
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
php常见错误报警,拦截PHP各种错误和异常,发生致命异常时进行报警,万事防患于未然...
weixin_39601929的博客
03-24 114
拦截PHP各种异常和错误,发生致命错误时进行报警,万事防患于未然在日常开发中,大多数人的做法是在开发环境时开启调试模式,在产品环境关闭调试模式。在开发的时候可以查看各种错误、异常,但是在线上就把错误显示的关闭。上面的情形看似很科学,有人解释为这样很安全,别人看不到错误,以免泄露重要信息...但是你有没有遇到这种情况,线下好好的,一上线却运行不起来也找不到原因...一个脚本,跑了好长一段时间,一直没...
php 源码 暴露,PHP安全-源码暴露(二)
weixin_35128544的博客
03-21 163
源码暴露你的WEB服务器必须要能够读取你的源确并执行它,这就意味着任意人所写的代码被服务器运行时,它同样可以读取你的源码。在一个共享主机上,最大的风险是由于WEB服务器是共享的,因此其它开发者所写的PHP代码可以读取任意文件。header('Content-Type: text/plain');readfile($_GET['file']);?>通过在你的源码所在的主机上运行上面脚本,攻击者...
php对外暴露接口,闭包对外暴露接口(2种)
weixin_35650074的博客
03-21 452
经常使用JavaScript的同学应该注意过类似于下面这样结构的脚本语言著名的第三方类库jQuery就是用到这样的语法,这个就叫做“自执行匿名函数”第一次看到这样的语法的时候其实感觉挺奇怪的,除了括号里面的匿名函数外“()();“,两个括号且以分号结尾,着实有点难以理解。其实仔细分析一下还是可以讲的通的。首先,小括号在语句中起到”表达式组合分块“作用,并且每个分组都会有返回值,在控制台下运行执行下...
schooldmg.zip_php 学生_php 数据录入_thinkphp_学生体质信息_学籍信息管理
07-14
所在学校已使用n年,采用ThinkPHP开发,主要功能为成绩录入统计,学籍管理(与全国电子学籍系统相辅),小学学籍信息采集,学生体质健康数据录入等,既是一个学校非常实用的工具,也可以作为学习PHP编写类似软件的很好的一个...
基于ThinkPHP的学生信息管理系统(后台源码)
09-28
学生信息管理系统后台程序源码,在前端调用接口即可,可以实现学生、教师日常信息管理、班级管理、学院管理、成绩管理以及请假和销假等功能。
浅谈“phpinfo()信息泄漏”
→_→
06-29 1万+
一:漏洞名称: PHPInfo信息泄漏、phpinfo()函数信息泄漏 描述: PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息,但这些信息泄露配合一些其它漏洞将有可能导致系统被渗透和提权。 phpinfo()函数返回的信息中包含了服务器的配置信息,包括: 1)PHP编译选项以及文件扩展名
php错误信息泄露怎么处理方法,PHP str_getcsv()函数中断处理地址信息泄露漏洞
weixin_35432846的博客
03-10 132
<?phpclass dummy{function __toString(){/* now the magic */parse_str("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=1", $GLOBALS['var']);return "XXXXXXXXXXXXXXX";}}/* Detect 32 vs 64 bit */$i = 0x7fffffff;$...
PHPInfo()信息泄漏漏洞利用及提权
热门推荐
weixin_44023460的博客
12-08 3万+
Simeon PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息,但这些信息泄露配合一些其它漏洞将有可能导致系统被渗透和提权。 1.1phpinfo函数 PHP中提供了PHPInfo()函数,该函数返...
漏洞挖掘——实验2 Environment_Variable_and_SetUID
一半西瓜的博客
04-16 5021
题目 lab Environment_Variable_and_SetUID pre 1、linux下用open函数打开文件时,要是采用O_WRONLY模式为何容易产生竞争条件漏洞? 换成O_WRONLY | O_CREAT | O_EXCL 模式后情况会如何? 2、(不需要完全搞懂全部流程)阅读一篇文章“从一个漏洞谈到ptrace的漏洞发现及利用方法”,地址为http://www.ns...
68、PHPINFO信息泄露检测与利用
Fly_鹏程万里
10-20 1966
PHPINFO信息泄露是指通过访问Web服务器上的PHPINFO页面获取关于PHP配置和服务器环境的敏感信息的攻击行为,PHPINFO页面是一种特殊的PHP脚本,它可以列出PHP解释器的配置信息和环境变量等详细信息,攻击者可以通过访问PHPINFO页面获取服务器的敏感信息,比如:PHP版本号、模块版本、文件路径、安装路径、操作系统版本等,这些信息可以被攻击者用于实施其他攻击行为,比如:利用已知的漏洞进行攻击或者编写定制的攻击脚本。
8-PHP代码审计——thinkphp3.2.3框架信息泄露
网络安全
04-27 1119
环境: thinkphp_3.2.3_full php5.6.27以上 下载thinkphp3.2.2解压到http://www.tptest.com/网站的根目录下并访问网址,如果出现以下页面,说明安装成功: 找到目录tptest.com\Application\Common\Conf\config.php配置数据库,开启调试,这里只需配置前6项即可,其它均使用默认配置 <?php return array( /* 数据库设置 */ 'DB_TYPE'..
PHP代码使用ThinkPHP框架如何配置数据库
05-16
ThinkPHP框架中,配置数据库需要在`/config/database.php`文件中进行配置。以下是一个基本的数据库配置示例: ```php return [ // 数据库类型 'type' => 'mysql', // 服务器地址 'hostname' => 'localhost', ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值