- 积分
- 14
- 威望
-
- 金钱
-
- 注册时间
- 2011-3-12
- 在线时间
- 小时
- 最后登录
- 1970-1-1
|
这是360给出的BUG截图,他们给出的办法是:异常页面导致服务器路径泄漏
WASC Threat Classification
发现时间:
漏洞类型:配置错误
所属建站程序:其他
所属服务器类型:通用
所属编程语言:其他
描述:由于异常页面(如404页面),在报错信息中包含了你的服务器上的物理路径。
1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
[url=]+ 展开[/url]
危害:恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。注意:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。站长们只需关注异常报错显示的文件路径。
解决方案:
如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set('display_errors', false);
2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1
PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|
发表于 2015-5-24 18:23:29
发表于 2015-5-24 22:06:37
楼主
