虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修复下吧!360 给出的解决办法如下:
如果 WEB 应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是 PHP 应用程序/Apache 服务器,可以通过修改 php 脚本、配置 php.ini 以及 httpd.conf 中的配置项来禁止显示错误信息:
A. 修改 php.ini 中的配置行: display_errors = off
B. 修改 httpd.conf/apache2.conf 中的配置行: php_flag display_errors off
C. 修改 php 脚本,增加代码行: ini_set(‘display_errors’, false);2、如果是 IIS 并且是 支持 aspx 的环境,可以在网站根目录新建 web.config 文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1
PS:《360 网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。
A、B 方法需要修改 php.ini 或 httpd.conf,除了 VPS 的主机外,就得找主机商帮忙才行,之前我跟主机商提这个问题的时候,就回了一句话:“不要在意这个,不会出什么问题!”只好作罢…
那我们只好采用 C 方法,通过修改 php 脚本来屏蔽路径暴露问题了!360 给出的 C 方法,就是在 php 脚本头部增加代码行 ini_set(‘display_errors’, false);
所以,修复这种漏洞的方法就是找到对应的文件,在文件里面加上以下代码即可:
<?php
//在<?php 后面插入以下代码即可
ini_set('display_errors', false);
当然,我们也可以将 ini_set(‘display_errors’, false); 直接插入到已有的 php 语句中。
如果,找不到这个报漏洞的文件咋办?比如,图中的 vote.php,玛思阁根本不存在这个文件!
其实,很简单,自己新建一个就好了!于是,在根目录新站 vote.php,将上面代码粘贴进去保存即可。。。
感觉有点掩耳盗铃的感觉。。。。
再次检测结果:
以上就是修复“页面异常导致本地路径泄露”漏洞的一种简单办法,要注意的是,一旦 WordPress 升级,被修改的 wp 原生 php 文件都会还原,所以又得苦逼的修改一次咯!
赣ICP备2022011209号
赣公网安备 44040302000165号
酷盾安全