360网站检测:页面异常导致本地路径泄漏

飞鸟 6月 4, 201422:43:22网站网络评论1,832阅读模式

今天在360网站安全检测时候发现了最新有个漏洞:页面异常导致本地路径泄漏 WASC Threat Classification然后 研究了一番最终找到解决的方法了,今天就跟大家分享一下希望大家能够受到帮助。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

我的环境是 linux  php版本是5.2.7  安装的程序是wordpress 如果你跟我的基本上类似可以尝试下方法。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

首先360网站检测提示的是:页面异常导致本地路径泄漏文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

描述:由于页面异常(如404页面),在报错信息中包含了本地路径。
1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

危害:文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。注意:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。站长们只需关注异常报错显示的文件路径。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

解决方案:文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

 如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set('display_errors', false);文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里: https://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1解决即可。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

然后我是这样解决的,找到主题下的header.php文件打开后给页头增加一段代码文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

ini_set('display_errors', FALSE)文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

记得加上PHP标签完整为<?php ini_set('display_errors', FALSE);?>文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

到header.php第一行然后保存覆盖默认目录文件,小技巧前提把以前文件复制一份免得出问题了好还原,然后用360网站检测工具检测就可以了。文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

文章源自飞鸟学习网-https://www.pk88.net/360jiance.html

文章源自飞鸟学习网-https://www.pk88.net/360jiance.html
继续阅读
全站资源源于网络整合,仅供学习研究,不可商用,不提供技术指导,如有侵权请告知删除,可以投稿,广告合作联系V: pk88net
weinxin
我的微信
微信扫一扫
  • 本文由 发表于 6月 4, 201422:43:22
  • 转载请务必保留本文链接:https://www.pk88.net/360jiance.html
    免责声明
    非常感谢您的访问。在您使用本网站之前,请您仔细阅读本声明的所有条款。
    1、本网站属于个人网站,本分开放互享的原则,本网站的内容均为站长提供、网友推荐、互联网整理而来,仅用于广大网友学习研究使用,如有侵犯您的版权,请及时联系我们,本站将及时纠正。
    2、本站内容不保证其完整性、正确性,但是我们会尽最大努力去确保提供信息的完整性及正确性,且不对因信息的不正确或遗漏导致的任何损失或损害承担责任。
    3、对由于使用本站所产生的任何直接、间接或偶然性的损失或破坏,无论该损失或破坏是否源于疏忽、违约、诽谤、侵权甚至电脑病毒等原因造成的,本网站概不负责,亦不负任何法律责任。
    4、本网站所有内容(网络,素材、图片),其版权均归原作者所有,在转载有关文章时务必尊重该文章的著作权,保留其来源,并自负版权等法律责任。
    5、本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。
    6、本站文章内容,如果来源于互联网,我们会标明其来源,如果属于本站原创整理互联网资料,请您转载或者使用该文章时尊重本站及其互联网作者的著作权,注明其来源。
    7、互联网的本质是自由与分享,我们真诚的希望,本站的每一份正能量能带给正在访问本网站的您提供有效的帮助,并且能在互联网自由传播。希望大家多多支持本站。
广告也精彩
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: