PHP网站路径泄漏,网站异常页面导致服务器路径泄漏

漏洞名称:网站异常页面导致服务器路径泄漏

危险等级:★★★☆☆(中危)

披露时间:未知

漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。

解决方案:

1、如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理。

2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息;

php.ini中的配置行: display_errors = off

httpd.conf/apache2.conf中的配置行: php_flag display_errors off

3、有些虚拟主机不支持修改配置文件,那么我们可以修改php脚本文件,找到漏洞所在的php,在第一行增加代码: ini_set('display_errors', false);

4、如果是IIS环境,可以在网站根目录新建web.config文件,内容如下:<?xml  version="1.0" encoding="UTF-8"?>

如果已经存在web.config,那么只需要在标签中添加以下代码即可;

解析:中的红色部分表示禁止显示详细错误,替换为Detailed则表示显示详细错误。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值