网站建设

网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

Jager · 4月19日 · 2014年 · 7908次已读

在360网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的Wordpress网站,那是必然会报。。。

这些漏洞,之前玛思阁就已经手动修复了,但是Wordpress升级后都被覆盖还原了,这不,又爆了8个漏洞!

网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修复下吧!

360给出的解决办法如下:

如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
A. 修改php.ini中的配置行: display_errors = off
B. 修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
C. 修改php脚本,增加代码行: ini_set(‘display_errors’, false);

2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1

PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。

A、B方法需要修改php.ini或httpd.conf,除了VPS的主机外,就得找主机商帮忙才行,之前我跟主机商提这个问题的时候,就回了一句话:“不要在意这个,不会出什么问题!”只好作罢…

那我们只好采用C方法,通过修改php脚本来屏蔽路径暴露问题了!360给出的C方法,就是在php脚本头部增加代码行 ini_set(‘display_errors’, false); 

所以,修复这种漏洞的方法就是找到对应的文件,在文件里面加上以下代码即可:

<?php
//在<?php后面插入以下代码即可
ini_set('display_errors', false);

当然,我们也可以将 ini_set(‘display_errors’, false);  直接插入到已有的php语句中。

如果,找不到这个报漏洞的文件咋办?比如,图中的vote.php,玛思阁根本不存在这个文件!

其实,很简单,自己新建一个就好了!于是,在根目录新站vote.php,将上面代码粘贴进去保存即可。。。

感觉有点掩耳盗铃的感觉。。。。

再次检测结果:

网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

 

以上就是修复“页面异常导致本地路径泄露”漏洞的一种简单办法,要注意的是,一旦Wordpress升级,被修改的wp原生php文件都会还原,所以又得苦逼的修改一次咯!

17 条回应
  1. 三日月 2014-4-19 · 21:47

    我的前两天也是有不少漏洞,也是要去改改

    • Jager 2014-4-19 · 23:42

      丢几句话就搞定了

      • 三日月 2014-4-20 · 15:09

        不过不是严重漏洞就好了,否则危险了

  2. 龙三公子 2014-4-19 · 22:09

    我的一直有一个编辑器漏洞,说是要升级编辑器,但是我没有升。正在准备升级2.2

  3. 郭爱兵 2014-4-19 · 22:18

    我也是一百分,不过是直接的直接,表示我不会那些扣分的错误。

    • Jager 2014-4-19 · 23:44

      wordpress一般都会报这个漏洞。

  4. Alick.Li 2014-4-20 · 0:23

    好像加个index.php也可以解决部分问题。~~~

    • Jager 2014-4-20 · 9:41

      是吗?有时间了解了解、

  5. APP雄起 2014-4-22 · 19:22

    不会技术,懒得修复了

    • Jager 2014-4-22 · 19:38

      写得很直观拉~~照着改就行了。

  6. 阿张-微博客 2014-4-23 · 20:44

    从你的首页"最新评论"进来后为手机页面..
    我的加上"统计代码"会提示有漏洞,在后台改底部版权信息时会被“安全狗拦截
    [围观] 特授予您五星神站称号

  7. 重量 2014-5-3 · 19:14

    我开始也有 我和主机商一说 他立马说看下然后就改好了 主机商改方便多了 自己改麻烦- –
    总结:不负责任的主机商。。

    • Jager 2014-5-3 · 19:15

      嗯,是的,主机商只要改一个地方就行了,咱们得这改那。

      • 重量 2014-5-3 · 19:19

        是啊 就是一个php.ini的配置问题 服务商改一劳永逸 省的用它主机的每个客户都要去改 绝对路径被爆是绝对有问题的 不算高危 至少是个中危漏洞

  8. 王志发 2014-8-17 · 16:26

    我也是用这种方法修改了部分页面,有个跨站脚本攻击漏洞还没找到解决方法。

    • Jager 2014-8-17 · 17:52

      可以入群交流:272279261

  9. 小清新头像吧 2015-3-28 · 23:16

    大赞啊。。哈哈~~