PHP网站路径泄漏,网站异常页面导致服务器路径泄漏

最新推荐文章于 2022-05-17 20:15:19 发布
最新推荐文章于 2022-05-17 20:15:19 发布
阅读量806 收藏
点赞数
文章标签: PHP网站路径泄漏

漏洞名称:网站异常页面导致服务器路径泄漏

危险等级:★★★☆☆(中危)

披露时间:未知

漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。

解决方案:

1、如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理。

2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息;

php.ini中的配置行: display_errors = off

httpd.conf/apache2.conf中的配置行: php_flag display_errors off

3、有些虚拟主机不支持修改配置文件,那么我们可以修改php脚本文件,找到漏洞所在的php,在第一行增加代码: ini_set('display_errors', false);

4、如果是IIS环境,可以在网站根目录新建web.config文件,内容如下:<?xml  version="1.0" encoding="UTF-8"?>

如果已经存在web.config,那么只需要在标签中添加以下代码即可;

解析:中的红色部分表示禁止显示详细错误,替换为Detailed则表示显示详细错误。

果小蒙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS自定义404错误页避免暴露.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,暴露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图: 如果没变化的话重启一下IIS即可。 您可能感兴趣的文章:ASP.NET中MVC使用AJAX调用JsonResult方法并返回自定义错误信息ASP.NET MVC自定义错误页面真的简单吗?在ASP.NET Core中显示自定义的错误页面ASP.NET MVC下自定义错误页和展示错误页的方式ASP.NET MVC中异
PHP爆绝对路径方法收集整理
10-27
利用Google搜索引擎,结合`site:`和特定错误关键字(如`warning`和`fatal error`)搜索错误页面的快照,这可能暴露出服务器路径。例如:`site:xxx.edu.tw warning` 或 `site:xxx.com.tw "fatal error"` 4. **测试...
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_34355933的博客
03-19 1063
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径的漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
php网站部署 代码泄露,PHP如何修复“页面异常导致本地路径泄露”
weixin_33716865的博客
03-10 466
以下是OMG小编为大家收集整理的文章,希望对大家有所帮助。自从1月份网站更换空间后,网站程序运行稳定,并及时升级后台程序,360检测的分数都是100分。不过最近查看360收录的时候,发现网站的分数是91分,提示:存在2个警告漏洞。之所以定期的检测网站,就是因为不堪回首的往事,在今年之前的两年里面,网站被入侵多次,导致网站关键字排名收到很大的影响,所以从今年1月份,痛下决心,在关键字排名很好的情况下...
WordPress页面异常导致本地路径泄漏漏洞修复办法
金林苑
12-03 1590
页面异常导致本地路径泄露 网站安全检测可能会出现这样一项漏洞,漏洞的修复办法: 如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息: 1.修改php.ini中的配置行: display_errors = off 2.修改httpd.conf/apache2.conf中的配置行: php_flag
网站模板在服务器路径是什么,页面异常导致本地路径泄漏
weixin_34515452的博客
08-03 235
漏洞名称:网站异常页面导致服务器路径泄漏危险等级:★★★☆☆(中危)披露时间:未知漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。解决方案:1、如果WEB应用程序...
漏洞检测:异常页面导致服务器路径泄漏 WASC Threat Classification
xuan2717的博客
08-23 274
漏洞检测:异常页面导致服务器路径泄漏 WASC Threat Classification
服务器安全和PHP网站安全配置[参考].pdf
10-28
服务器安全和PHP网站安全配置】是针对网络服务器和基于PHP构建的网站进行安全强化的重要环节。...此外,定期备份数据,设置防火墙规则,并监控日志以检测异常活动也是保障服务器PHP网站安全的重要步骤。
毕业论文php169大学生心理咨询网站.doc
08-25
2. 管理员功能模块:管理员负责审核用户提交的内容,管理在线咨询,发布心理健康资讯,维护用户信息,处理系统异常,确保网站正常运行。 四、系统设计 1. 功能设计:根据需求分析,设计出相应的功能模块,如用户...
PHP+MySQL网站注入.pdf
10-10
如果服务器允许远程SQL连接,他们就可以利用这些信息连接到数据库,并执行如`insert`和`into outfile`等语句,将恶意PHP代码写入数据库并在Web目录下创建文件,实现远程控制服务器。 总的来说,PHP+MySQL网站注入是...
微信小程序图片选择、上传到服务器、预览(PHP)实现实例
08-30
微信小程序图片选择、上传到服务器、预览(PHP)实现实例 本文主要介绍了微信小程序图片选择、上传到服务器、预览(PHP)实现实例的相关资料,以下是具体的知识点: 一、微信小程序图片选择 * 微信小程序提供了...
服务器路径泄露漏洞
linhl_sdysit的博客
12-17 1919
tornado服务器路径泄露漏洞 该漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息,可以了解目标服务器目录结构,并通过利用该信息,再配合其它漏洞对目标服务器实施进一步的攻击。 Traceback (most recent call last): File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute result = method
php加载其他php文件,PHP文件包含漏洞
weixin_42303389的博客
03-09 168
原标题:PHP文件包含漏洞0x00 文件包含与文件包含漏洞文件包含是指,服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行。文件包含还有另外一个名称,那就是代码重用。我们若是需要修改页面,只需要修改一个头部代码文件就可以了,其他上万个页面将会全部对应改变。文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动念包含在版务器的文件,从而导致恶意代码的执行及...
浅谈php安全
lifushan123的专栏
04-23 511
这段时间一直在写一个整站,前几天才基本完成了,所以抽个时间写了一篇对于php安全的总结。技术含量不高,过不了也没关系,希望能一些准备写网站的朋友一点引导。 在放假之初,我抽时间看了《白帽子讲web安全》,吴翰清基本上把web安全中所有能够遇到的问题、解决思路归纳总结得很清晰,也是我这一次整体代码安全性的基石。 我希望能分如下几个方面来分享自己的经验 把握整站的结构,避免泄露站点敏
【信息泄露(一):物理路径泄露】
naxiaorongshixiatian的博客
05-17 989
信息泄漏–物理路径泄露 访问某网址时在其后面随意加了一个参数。 1.如果参数错误,返回内容什么都没有,只告诉你出错 ,则说明无信息可利用。 2.如果参数错误,返回内容有物理路径,则攻击者可以利用该物理路径攻击服务器 对于物理路径泄漏问题,可能由以下几个原因导致: 1.开发者未关闭debug模式,导致参数错误时进入debug调试模式,将敏感信息泄露 2.开发者未考虑参数错误问题,导致参数错误时进入未知界面(未知界面包含物理路径敏感信息) 有以下几个修复方案: 1.将debug模式关闭 2.对于参数错误问题,定
安全漏洞-报错页面泄露文件路径
weixin_57095087的博客
11-01 2065
概述 风险等级:低 缺陷描述: 对参数过滤不严格,报错信息泄露文件服务器路径信息。 危害描述: 获取更多服务器端的信息,辅助攻击者进一步利用 漏洞验证: 通过破坏传递参数的格式,导致页面报错,从而泄露文件路径。 以上是公司安全部,代码审计,扫描出的漏洞信息,在这里记录一下,第一次发文,欢迎指导 解决方案 配置nginx.conf文件 error_page 502 503 /50x.html; location = /50x.html { r...
php显示地址栏携带的错误信息_修复网站提示PHP错误信息泄露的方法及代码
weixin_39871162的博客
12-06 273
今天想看看站点是否安全,于是用360网站漏洞检测网站:http://webscan.360.cn 扫描站点,发现网站检测出了 PHP错误信息泄露 漏洞,危险级别为高危。看到高危两个字,心里就不淡定了。马上到搜索引擎搜索答案并参考了360官方给出的解决方案,经过不断的修复扫描,终于解决了。下面小编就把解决的方法告诉大家,希望能对各位站长有用。提示PHP错误信息泄露,得分极低。 出现此问题的原因是通...
php网站安全防火墙安全程序源码
最新发布
10-23
3. 异常处理:捕获各种异常,如文件不存在、权限不足等,避免泄露敏感信息。通过`try/catch`结构处理异常,并记录异常信息,可供后续分析和处理。 4. 跨站请求伪造(CSRF)防护:为每个用户生成唯一的口令(token)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值