今天在360网站安全检测时候发现了最新有个漏洞:页面异常导致本地路径泄漏 WASC Threat Classification然后 研究了一番最终找到解决的方法了,今天就跟大家分享一下希望大家能够受到帮助。
我的环境是 linux php版本是5.2.7 安装的程序是wordpress 如果你跟我的基本上类似可以尝试下方法。
首先360网站检测提示的是:页面异常导致本地路径泄漏
- 描述:由于页面异常(如404页面),在报错信息中包含了本地路径。
- 1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。
- 危害:
恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。注意:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。站长们只需关注异常报错显示的文件路径。
- 解决方案:
如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
- 1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set('display_errors', false);2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里: https://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1解决即可。
然后我是这样解决的,找到主题下的header.php文件打开后给页头增加一段代码
ini_set('display_errors', FALSE)
记得加上PHP标签完整为<?php ini_set('display_errors', FALSE);?>
到header.php第一行然后保存覆盖默认目录文件,小技巧前提把以前文件复制一份免得出问题了好还原,然后用360网站检测工具检测就可以了。
评论