LNMPA用360检测出现异常页面导致服务器路径泄漏 WASC Threat Classification,求军哥帮忙
这是360给出的BUG截图,他们给出的办法是:异常页面导致服务器路径泄漏WASC Threat Classification
发现时间:
漏洞类型:配置错误
所属建站程序:其他
所属服务器类型:通用
所属编程语言:其他
描述:由于异常页面(如404页面),在报错信息中包含了你的服务器上的物理路径。
1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
+ 展开
危害:恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。注意:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。站长们只需关注异常报错显示的文件路径。
解决方案:
如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set('display_errors', false);
2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1
PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。
显示错误信息的也就只有这3个地方可以设置 在哪设置呢,我还是搞不懂? 军哥,帮帮忙,在哪设置 ,我找不到 就只有你帖子里说的3个地方可控制,别没有其他的
页:
[1]