Apache服务器异常页面导致路径泄漏关闭错误提示

描述:

由于异常页面(如404页面),在报错信息中包含了你的服务器上的物理路径。

1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。

2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。

危害:

恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。注意:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。站长们只需关注异常报错显示的文件路径。

解决方案:

如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:

如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:

修改php.ini中的配置行: display_errors = off

修改Apache的httpd.conf,添加以下两行:  

  1. php_flag display_errors        off  
  2.  
  3. php_value error_reporting       2047

修改php脚本,增加代码行: ini_set('display_errors', false);

注意

必须重启apache服务器!!!


发布日期:

所属分类: Apache/Ngnix 标签: