- 漏洞類型:
-
配置錯誤
- 所屬建站程序:
-
其他
- 所屬服務器類型:
-
通用
- 所屬編程語言:
-
其他
- 描述:
-
由於異常頁面(如404頁面),在報錯信息中包含了你的服務器上的物理路徑。
1.本地路徑泄漏漏洞允許惡意攻擊者獲取服務器上的WEB根目錄的全路徑(通常在出錯信息中)。
- 收起
2. 通過此漏洞可以推斷出其它資源在服務器上的本地路徑,配合其它漏洞,惡意攻擊者就有可能實施進一步的攻擊。
- 危害:
-
惡意攻擊者通過利用本地路徑信息,在配合其它漏洞對目標服務器實施進一步的攻擊。注意:《360網站安全檢測》會去猜測敏感文件,如果您被報此漏洞,但又確實不存在提示的文件或路徑的,只要關閉服務器的顯示報錯即可。站長們只需關注異常報錯顯示的文件路徑。
- 解決方案:
-
如果WEB應用程序自帶錯誤處理/管理系統,請確保功能開啟;否則按語言、環境,分別進行處理:
1、如果是PHP應用程序/Apache服務器,可以通過修改php腳本、配置php.ini以及httpd.conf中的配置項來禁止顯示錯誤信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php腳本,增加代碼行: ini_set('display_errors', false);2、如果是IIS 並且是 支持aspx的環境,可以在網站根目錄新建web.config文件(存在該文件則直接修改),或者可以參考這里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1
PS:《360網站安全檢測》會去猜測敏感文件,如果您被報此漏洞,但又確實不存在提示的文件或路徑的,只要關閉服務器的顯示報錯即可。