[警告]页面异常导致本地路径泄漏 php aspx asp iis等解决方案

2013年6月24日 发表评论 阅读评论

360网站安全检测扫描到的网站漏洞,站长该怎么办,办法其实很简单。

描述:
由于页面异常(如404页面),在报错信息中包含了本地路径。
1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。

危害:
恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。

解决方案:
1、由WEB应用程序实现自己的错误处理/管理系统;
2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set(‘display_errors’, false);

PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在的,只要关闭服务器的显示报错即可。

解决方案中,很多虚拟主机无法修改php.ini以及httpd.conf中的配置,那么就用最后的修改php脚本的方法,直接找到相关的文件,打开后在最上面空白处加一行代码:
<?php ini_set(‘display_errors’, false); ?>
保存后上传更新就ok了,就这么简单。

安全等级打败了全国65%的网站!但略有瑕疵,离五星神站只差一步啦!
2013-06-20 01:28:18 开始检测,耗时17分38秒,检测模式:消耗最小
网站服务器: LiteSpeed 页面编码: UTF-8 使用语言: 开放端口:21,22,25,26,53,80
共检测24个页面,以下1个页面有问题
存在漏洞页面    漏洞名称
http://msn.shandian.biz/528.html
[警告]页面异常导致本地路径泄漏
修复方案
如果您因为技术原因无法修复漏洞,请进入360站长论坛寻求帮助
以下23个页面没问题
检测项    检测结果
网站数据库泄露
安全
网站用户资料泄露
安全
网站源代码泄露
安全
非法执行恶意命令
安全
网站植入后门
安全
可导致网站无法访问
安全
网站敏感信息泄露
安全
网站后台非法登录
安全
网站“被拖库”
安全
核心数据被非法更改
安全
非法读取用户信息
安全
网站敏感文件被可下载
安全
服务器配置信息泄露
安全
非法执行任意代码
安全

关于此漏洞的修复方案如下:
如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set(‘display_errors’, false);
2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),
PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。


转载请注明来自:[MSN Spaces]http://msn.shandian.biz/530.html

  1. 本文目前尚无任何评论.