安全漏洞-报错页面泄露文件路径

最新推荐文章于 2024-06-18 10:28:47 发布
最新推荐文章于 2024-06-18 10:28:47 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: 安全 nginx 文章标签: 服务器 nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57095087/article/details/121076477
版权

概述

风险等级:低

缺陷描述:

      对参数过滤不严格,报错信息泄露文件服务器路径信息。

危害描述:

      获取更多服务器端的信息,辅助攻击者进一步利用

漏洞验证:

      通过破坏传递参数的格式,导致页面报错,从而泄露文件路径。

以上是公司安全部,代码审计,扫描出的漏洞信息,在这里记录一下,第一次发文,欢迎指导

解决方案

配置nginx.conf文件

error_page 502 503 /50x.html; #配置添加行 后端返回502 503 状态码 转跳/50x.html静态页面,可添加至 http 和 server 。 
location = /50x.html {
    root /usr/share/nginx/html;
}

配置 502 503 server状态码转跳静态地址页50x.html

解决 

你看到我的哆啦A梦了吗?
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
未授权和敏感文件泄露
Fiverya的博客
02-03 1237
常见未授权和敏感文件泄露漏洞
为解决信息页面泄露问题,添加全局异常处理
apple_pingwan的博客
01-13 1293
攻击者可通过页面的详细信息,收集系统中间件的版本信息、数据库字段等信息,从而进行下一步的攻击。为解决该问题,根据项目中存在的编码规范(jax-rs:runtime使用的resteasy和springboot),采用对应的全局异常处理方案。
Web安全基础学习:敏感信息泄露漏洞之系统信息泄露
最新发布
qq_51862722的博客
06-18 954
系统信息泄露漏洞:指在软件系统、网络交互、数据存储或传输过程中,由于安全控制不当导致与系统配置、运行环境相关的信息被非授权访问或公开。这类信息通常包括服务器软件版本、操作系统类型、网络配置、数据库信息等。攻击者可以利用这些信息进行更精准的攻击,比如针对特定版本的软件利用已知漏洞
【WEB安全】详解信息泄漏漏洞
weixin_43025534的博客
05-30 2721
由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。这种泄漏敏感信息的情况就属于信息泄漏漏洞
Nginx Web安全漏洞解决:Web服务器HTTP头信息公开以及Web服务器页面信息泄露
热门推荐
weixin_43905458的博客
04-24 1万+
1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP头信息公开 风险级别:中风险 漏洞个数:4 漏洞详情: 端口 协议 服务 443 TCP WWW 80 TCP WWW 8000 TCP WWW 8080 TCP WWW 1.2、安全漏洞:Web服务器页面信息泄露 风险级别:中风险 漏洞...
信息泄露与收集
w2vmany的博客
12-06 978
也要在Linux系统打开文件(cat DS_Store)
敏感信息泄露
LainWith的博客
08-24 6549
目录0x01 漏洞简介0x02 漏洞是怎么发生的0x03 漏洞危害0x04 测试方法操作系统版本中间件的类型、版本Web敏感信息网络信息泄露第三方软件应用敏感信息搜集工具0x05靶机演示误信息导致的信息泄露调试数据导致的信息泄露备份文件导致的信息泄露由于配置不当引发的信息泄露0x06 实战演示漏洞描述获取目标漏洞复现0x07漏洞修复参考 0x01 漏洞简介 敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等。 在程序
web-注入-皮卡丘靶场
07-15
注入】是一种安全漏洞,它发生在攻击者能够通过输入特定的数据,导致应用程序返回关于其内部结构或数据库状态的误信息。这种误信息可以揭示敏感信息,如数据库名称、表名、列名,甚至数据本身,从而为攻击...
IIS的十七个常见安全漏洞
03-03
IIS的十七个常见安全漏洞
考试hw.docx+信息安全问题汇总
03-14
1. SQL注入:SQL注入是一种常见的网络安全漏洞,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,使程序误以为这些输入是合法的查询指令,从而获取、修改、删除数据库中的敏感信息,甚至完全控制数据库系统。...
080-从信息泄漏到Getshell.pdf
09-20
文章主要围绕Laravel框架中的信息泄露和后台任意文件下载漏洞展开。 首先,文章指出在进行渗透测试时,目标系统使用了Laravel框架,并且开启了调试模式(debug)。在Laravel的`.env`配置文件中,开启的debug模式会...
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
[JAVA代码审计]OFCMS路径遍历漏洞
Y4tacker的博客
05-19 1490
文章目录写在前面分析 写在前面 今天分析的第二篇,当时在网上看到爆了这个漏洞那么就分析一下啦 网上似乎没有人写,那就让本小可爱来吧 分析 漏洞点存在于后台的模板文件查看处 漏洞函数位于com/ofsoft/cms/admin/controller/cms/TemplateController.java下的getTemplates函数,首先是接收这三个参数,当时是get传参方式 //当前目录 String dirName = getPara("dir",""); //上级目录 String upDir
Java代码审计中常见的漏洞(二)
武天旭的博客
12-09 2105
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 文件数据泄露 2 密码正确性验证 3 SMTP响应截断 4 XSLT注入 5 XML外部实体注入 6 敏感信息泄露 7 XML实体扩展注入
Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)
zzzzz1284的博客
01-16 226
CVE-2021-42013
Apache HTTP Server 2.4.49 中的路径遍历和文件泄露漏洞 (CVE-2021-41773)
zzzzz1284的博客
01-09 241
CVE-2021-41773复现
检测到页面web应用服务器版本信息泄露
qq_20867981的博客
05-14 1万+
比方说我现在访问:http://localhost:8080/pages/xx.jsp,应该会404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对误进行处理,在web.xml添加对相应的页面:<!-- 默认的误处理页面 --> <error-page> <error-code>403</error-code...
ThinkPHP 页面信息泄露
go_213的博客
08-08 1519
漏洞描述 ThinkPHP 是一个简易快捷,兼容性强的 OOP MVC PHP 框架,支持 UTF-8 和多种类型的数据库。 ThinkPHP 页面存在漏洞,可能导致网站敏感信息泄漏。 修复方案 在 ThinkPHP 入口文件中,把APP_DEBUG参数设置为false。 注意:在修改前请做好备份,或为 ECS 建立硬盘快照。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值