网站建设

博客网页导致电脑CPU飙升的问题解决记录

已经有好几个访客朋友匿名反馈只要打开我的博客电脑的CPU就狂转: 因为忙一直也没当一回事,一是我自己的MacbookAir打开并没有异常,二是因为我近期都没进行过折腾改造,不应该有问题才对。 直到今天空下来才想到这个问题还没去验证一番,于是让几个朋友试了下,都反馈确实有问题!Windows下CPU狂转,MAC下风扇呼呼响(奇怪的是我的MAC没问题),看来确实有必要解决下了。 我对于网页导致CPU飙升,也没听过说过有什么解决套路,问了几个前端朋友也说不好定位(有知道的朋友可以留言分享下),只能骑驴找马试试看了。 首先,我看了下是否因为的CSS大括号写成全角带来的问题,结果并未发现异常【相关文章】; 然后,在火狐、谷歌查看了下开发者模式,发现也没有明显报错,又陷入了僵局; 2017-11-12补充:上次排查认为是防镜像代码出现死循环导致CPU爆卡,于是对代码做了下规避,结果还是有朋友在文章下面留言说爆卡!说风扇呼呼响,CPU 100%,有点诡异!主要是我的Mac Book Air并没有出现风扇呼呼响的情况,以为好了。于是开着博客网页看了下top命令,结果发现CPU100%++,看来依然没解决!尼玛。。。 实在没辙,于是打开了使用了相同主题的知更鸟博客试了下, 发现也是100%++,看来是通病。于是顺着看了几个用知更鸟主题的网站,发现有部分又是没问题的。。。 于是从外观上看了下差异,一眼就看到了Logo扫光特效!!!一闪一闪的很有可能是真凶了!于是看了下没问题的博客,发现都没开这个特效,当我把这个特效关了之后,CPU负载瞬间就陡降了! 所以,造成CPU爆卡的原因之一是:知更鸟主题的Logo扫光特效! 拓展:这功能本来也没什么L用,华而不实,一直忙就忘记关掉了,现在发现居然会导致CPU爆卡,试了几个使用了这个特效的网站,也存在同样的问题,大家可以试下。 简单看了下扫光特效的CSS代码,主要使用keyframes来实现的动画,因此也看了些资料。验证这个特效是否会导致CPU上升,可以点击如下网址测试效果: http://www.runoob.com/try/try.php?filename=trycss3_keyframes 反正我点击运行之后,CPU至少升到60%+,如果再加快速度,CPU负载会更高,有兴趣的朋友可以自己测试玩玩。 造成CPU负载较高的原因之二是:底部滚动推荐条! 关掉扫光之后,顺便测试了下我博客底部的滚动条,发现也会带来较高的CPU负载,如果发现风扇依然呼呼的朋友,可以再关掉滚动条试下。。。但是,这个功能我就不去掉了,总要有所取舍。 造成CPU负载较高的原因之三是:防镜像代码中存在死循环。 三个问题全部规避试了下,使用QQ浏览器时,CPU负载依然在50%左右,使用谷歌基本只有20%以下,估计和浏览器内核版本也有所关系,暂时找不出问题了,以后再看看吧! 下面是之前排查过程,无关紧要。 按照我个人经验,这种导致CPU爆卡的肯定是有什么死循环之类的js定时任务导致的。于是按下F12瞄了下有没有异常代码,结果一眼就瞄到了很久之前加入的防止镜像的img+js代码【相关文章】: 几乎本能的确定就是这个代码导致的,这段代码的防镜像原理是指定img为错误的src地址,然后触发onerror错误事件来进行域名判断的,这个过程应该是个死循环,也就是不断的产生onerror事件和域名判断,从而带来了CPU飙升问题。 于是注释了这段代码,让朋友试下,结果一切恢复正常了,果然这就是真凶! 目前没时间研究这段代码的兼容性问题,只好先注释了。理论上应该只需要给这个事件逻辑加上一个延时机制,比如延时个1s以上,应该就可以解决了,也就是和while true不加sleep一样的道理!感兴趣的同学可以去研究研究。 好了,这个问题就记录到这,用到这段代码的朋友也可以看看是否存在相同的问题。 20171021补充:博友【时光在路上】已经留言告知解决onerror事件导致死循环的方法,感谢! 解释如下: 当图片加载失败的时候,我们可以利用onerror事件赋予它默认图片,但是问题来了,假如默认图片又不存在呢,即加载失败,这个时候就会陷入死循环。 为了避免死循环的情况,我们可以在执行完onerror事件后,置于onerror=null 来清除onerror事件,参考代码如下: 原文地址:http://www.cnblogs.com/52php/p/5677847.html 果然,还是和我猜的那样存在死循环问题,本来想着循环判断也挺好的,所以只需要加一个延时,应该就可以解决高负载的问题。不过onerror既然可以清空,那我还是使用清空方案吧! 修改后的防镜像代码如下: 原代码中新增this.onerror=null;来置空onerror事件即可。 看来还是认知不够用,只想到了死循环可以加延时来解决,却忘记了搜索引擎找下【onerror死循环】相关问题解决方法,失策失策。 无聊继续看了下, 发现我前面想的延时方案也已经有前人分享过了,这里继续拓展延伸一下: img加载图片偶尔会出错,利用onerror可以加载一个缺省图片,也可以重载同一张图片。 但是都要考虑,重载的图片仍然错误,就会陷入死循环。 下面给出一个带重试次数,并且延迟加载的实现,超过重试次数仍不能正常显示的,显示缺省图片。 原文地址:http://www.iteye.com/topic/1118362 当然,防镜像那个代码就没必要弄这么复杂了,本文就记录这么多,有兴趣的自己去折腾吧。  
阅读全文
网站建设

WordPress集成SendCloud邮件代发,规避SMTP泄漏网站主机真实IP的风险

还是几个月前,中国博客联盟的晓风依然博主QQ联系我,说发现WordPress评论回复邮件存在一个巨大的风险:WordPress评论回复邮件,不管是使用SMTP代发还是用Sendmail发送,都会暴露网站主机的真实IP! 经过我亲自验证,发现的确存在这个令人担忧的问题!但是,一时之间并没有合适的解决方案,所以我和他都一致认为在没有找到替代方案之前,这个东西不能曝光!就算有部分人已经知道了,但还是不能明晃晃的摆到台面上来公布于众! 接下来的几个月,张戈一直在新公司持续高强度的工作,根本没有闲暇时间来研究替代方案!可惜让我担忧的事情最终还是发生了:幻杀博客的博主小幻在博客公布了这个会泄漏IP的“BUG”,却没有分享解决方案!我除了感叹出身牛犊不怕虎之外,也只能无奈加紧步伐,尽快找到替代方案。 一、如何泄漏 看过幻杀博客的文章的朋友应该已经知道是怎么一回事了。就是当我们的网站通过SMTP代发或者php调用SendMail来发邮件通知评论者时,我们发送过去的邮件原文中将带有我们主机的真实IP!!如果被人恶意利用,我们的CDN防护都将变得毫无意义(点此查看个人网站暴漏真实IP的危害)!   最新补充:果然,在乌云上早就有朋友发过这个漏洞了,感兴趣的童鞋可以前往看看: 《某方法可以无视CDN查找真实IP导致真实站点遭受DDOS或入侵》   二、解决方案 ①、自建API 既然不能使用SMTP代发,又不能使用 SendMail,那就只有一个办法了:用第三方API代发邮件即可,就算暴露IP也是暴露了邮件服务器的IP,和我们的小站没有任何关系。 本来我是想在 SAE 搭建一个邮件代发API,后来想到了中国博客联盟那么多的邮件模板,而自己空闲时间确实太少,只好先放弃了。 A. 小幻版本 小幻被我吐槽之后,说去研究下自建邮件API服务,目前已在他博客分享了一个自建的邮件代发API,感兴趣的朋友可以前往查看: 《使用邮件代发API发送回复邮件提醒》 不得不说这家伙确实是一个很赞的高中技术宅(再次汗颜下自己高中时还只会玩QQ)。 B. SAE版本 小武这个技术宅,为了解决评论显示代发,导致变成垃圾邮件问题,在SAE搭建了一个邮件API,而且是专门给WordPress 评论回复用的,感兴趣的朋友可以去了解一下: 《通过新浪SAE发送wordpress评论提醒邮件》 ②、SendCloud 写到这,本文主角终于姗姗来迟。 SendCloud由搜狐武汉研发中心孵化的项目,是致力于为开发者提供高质量的触发邮件服务的云端邮件发送平台,为开发者提供便利的API接口来调用服务,让邮件准确迅速到达用户收件箱并获得强大的追踪数据 。主要提供两种类型的邮件发送服务,一类是事务性邮件,一类是商务性邮件。 ——摘自百度百科 SendCloud我目前的公司也在使用,而且我也曾写过关于SendCloud的堵塞监控脚本: SendCloud邮件队列状态和已使用额度的Python监控脚本 感兴趣的可以前往一探究竟。这玩意如何牛逼,如何高大上我就不说了。简单的说就是一个邮件代发服务,比上面介绍的自建API更加完善,当然使用也更加复杂,希望看完本文的朋友可以成功集成到WordPress当中。 三、动手集成 ①、注册帐号 如何注册就不赘述了,官网地址:http://sendcloud.sohu.com/ ②、域名设置 邮件设置==>域名==>新增发信域名 完成后,进入域名设置,按照提示到你的DNS解析控制台新增必须的几个记录: 下面还有一个收信配置,也是一个必配项: Ps:不过这里有一个技巧,上图可以很明显的看到,我现有的记录值是2个,一个sendcloud,一个是QQ的域名邮箱。因为,我不是很想用Sendloud的转发功能,而是想继续用之前就配好的QQ域名邮箱。这里该如何实现呢?很简单,在DNS解析那新建2个MX记录,然后将QQ域名的MX优先级设置更小即可! 下面是张戈博客的相关DNS设置,不会的可以参考下: 设置好了之后,可以点击右上角的【检测配置】来探测是否生效。这个生效时间长短不一,咱们先继续做后面的设置。 最新补充:其实如果你的网站要用其他域名邮箱或企业邮箱,那么只要在Sencloud域名验证后将MX记录改为相应的域名邮箱或企业邮箱记录即可!比如张戈博客要用QQ的域名邮箱,那么就将上图中的sendcloud的MX记录删除,只保留QQ邮箱的MX记录就好了。并不影响 sendcloud 发信,因为这个MX记录只是用于收信,而最爽的是QQ邮箱那边依然可以用域名邮箱发信! ③、获取api_user和api_key 登录后,就会获得帐号专属的API_KEY,当然如果你忘记了也可以使用会员首页的重置功能。 接着点击上方的【邮件设置】==>【Api_user】,来创建新的API_KEY备用: ④、邮件样本 Ps:目前已和邮件模板合并,请直接跳过这一步! Sendloud 为了避免有人恶意发送垃圾邮件,就推出了这个审核机制,所有邮件代发都必须先通过样本校验。貌似是要达到80%以上的匹配率才会给你发出去,否则就返回不匹配错误。 官方给出的注意事项: 注意事项: 为避免不良信息传播,用户在发送邮件前,需提交样本审核,真实发送的邮件内容会和样本进行匹配。 邮件样本可以是具体的某一封邮件,也可以是带有变量的邮件模板。 审核时间:工作日(周一至周五9:00-18:00)一小时以内审核;非工作日上午和下午定时审核一次。 这算是整个流程中比较麻烦的一步,不过大家完全不用担心,因为张戈都已经写好了模板: Ps:和下面的邮件模板代码一样,就不重复粘贴了! 点击【发送相关】==>【邮件样本】==>【创建样本】==>参考下图填写好上方栏位==>切换到【源码模式】==>粘贴上面的代码==>提交审核即可 当然, 我们可以根据需求提交多个模板,不过一般WP就评论回复通知用的最多,其他自己研究吧! ⑤、邮件模板 看到这,估计大伙要骂娘了。。。刚弄了一个邮件样本,又要弄邮件模板!当然,我们是可以直接post整个邮件内容到Sendloud,但是并不是强迫症所向往的,我们追求的是极致,因为使用模板发送只要post模板中的几个变量即可。 废话不说,点击【发送相关】==>【邮件模板】===>【创建模板】 和上面的邮件样本一样,将以下代码粘贴到源码模式保存即可: 调用名称推荐使用字母: 这里就不用审核了,但是注意这个模板在邮件样本中必须存在匹配的样本,否则无法发出去。 ⑥、PHP函数 唉,张戈折腾一上午,分享出来几分钟!代码如下: 将以上代码添加到主题目录的functions.php当中即可,放哪个位置我就不再阐述了,这都搞不清估计也玩不转这种折腾活了。 ⑦、系统邮件(可选) 什么叫系统邮件?就是有人在你博客留言了,或者有评论需要审核,WordPress是可以设置邮件提醒的,这里需要用到wp_mail函数。但是我懒得将这个功能也用Sendloud来代发,一是麻烦,二是发给管理员的,泄漏IP又如何? 所以,之前如果已经弄过SMTP,可以保留如下代码,让系统继续使用SMTP发邮件给管理员: 但是如果之前已经添加过评论回复邮件通知代码的的,请注意注释掉,否则之前的代码可能还会继续工作,泄漏IP,一般在functions.php里面添加如下代码即可: 四、效果预览 目前张戈已经使用了一个多月了,非常稳定。免费用户每天可以发送200封邮件,这已经足够应付绝大部分个人博客了! Ps:如图,最看不起那些乱填邮件的人!要么就灌水,要么就是找茬的。而且经常对SendCloud请求一些无效邮件,将会降低帐号的信誉度,影响以后的发送成功率。 很多人看到本文肯定会望而却步,因为确实弄起来比较复杂,也比较麻烦!但是,张戈作为吃螃蟹的都已经分享出来了,你还嫌麻烦? Ps:这篇文章又花了我4个多小时!未经允许,谢绝转载,谢谢合作!
阅读全文
WEB应用

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

最近在折腾网站XSS漏洞修复的时候,当我把XSS漏洞和谐成功之后,360扫描送来了一个"彩蛋": 本以为又是360误报,结果点击看了下,还真能打开PHPinfo: PHP彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为PHP是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神! 一、如何触发PHP彩蛋? 我们只要在运行PHP的服务器上,在域名后面输入下面的字符参数,就能返回一些意想不到的信息。当然有些服务器是把菜单屏蔽了的。彩蛋只有这4个,PHP是开放源代码的,所以不必担心还有其他。 我2个网站目前都已屏蔽了PHP彩蛋,所以我们一起来看下腾讯的招聘网站: 原网站是这样的 点击跳转 加上“彩蛋之后”是这样: 1). PHP信息列表 点击跳转 2). PHP的LOGO 点击跳转 3). Zend LOGO 点击跳转 4). PHP LOGO 蓝色大象  点击跳转 二、如何看待PHP彩蛋? 如果你在自己的博客上也发现了这个问题,请不要惊慌,也莫要想着必须马上去解决他。其实这不算是漏洞。只是开源团队开的一个玩笑,全世界都认可的玩笑。没必要上纲上线,将它列为PHP的漏洞,连360都戏称为。 三、如何屏蔽PHP彩蛋? 方法①、我们可以通过apache或者nginx的伪静态规则去屏蔽,比如apache的服务器,我们可以在 .htaccess 里面加入以下2条规则即可拦截此类访问: 方法②、 直接编辑PHP的配置文件php.ini,找到expose_php,将值改为Off,然后重启或重载PHP服务即可: 我是懒得去想nginx规则该如何写了,直接修改php.ini来屏蔽的。屏蔽后,再去触发彩蛋发现已经无效了。再用360检测已经没有任何问题了: 如果你也发现你的网站有这个问题,也不必太在意。当然,强迫症还是去折腾修复下,免得坐立不安,哈哈!
阅读全文
网站建设

PHP跨站脚本攻击(XSS)漏洞修复思路(二)

上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。 从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。 分析一下中国博客联盟和张戈博客已开放的数据入口: ①、中国博客联盟,主要有搜索、后台博客提交等; ②、张戈博客(WordPress),主要是用户评论提交; 所以,本文就已这2个入口为例子,来分享XSS漏洞修复的简单思路。 一、完全过滤 问题①,我可以找到站内搜索和博客提交这2个开放入口的数据处理php,然后对数据过滤即可。 比如站内搜索,中国博客联盟取得搜索关键词是这样一行代码: 考虑到中国博客联盟的站内搜索,只能搜索博客名称、域名、类型及描述这四种,而这四种均不需要出现html代码!如果有人提交搜索了html代码,绝非善意! 那对于这种情况,我只需要完全过滤掉html内容即可!所以可以用到strip_tags()函数,具体运用如下: 在数据外套上 strip_tags 进行html完全过滤即可!那么系统后台得到的数据就是不含任何html代码的。 比如,依然搜索360爆出的“88888<iframe src=http://xxooxxoo.js>”: 从搜索结果可以看出,系统已自动过滤了后面的iframe恶意内容,问题得到解决。 因此,对于XSS漏洞的第一种修复方法就是使用 strip_tags 函数来完全过滤html内容。 二、代码转义 问题②,WordPress的评论并不能如此暴力的过滤,因为很多用户确实是想提交一些html代码,来进行交流。 对于这种情况,有3种思路: ajax方式的评论都会用到主题下的comment-ajax.php文件,所以我们编辑这个文件,搜索$comment_type = '',然后在这行后面添加以下三种方法中,你所中意的代码: A. 直接过滤,允许提交 效果截图: B. 提出警告,禁止提交 效果截图: C. 内容转义,允许提交 效果截图: 其中过滤列表只写了iframe和script2种,如果你需要过滤其他你不喜欢的内容,比如某些人评论总是带上链接,这些都是可以过滤的!反正方法我已经分享了,具体就看你自行发挥了! Ps:其实WordPress本身已屏蔽了XSS漏洞,评论是不允许一些html代码的, 比如font字体标签等。本文也只是为了探讨修复XSS漏洞的一个简单思路,临时关闭了HTML过滤。为了安全起见,非特殊情况,还是不要禁止WordPress自带的HTML过滤为好! 最后,再去用360扫一扫,已经是“满意100”了: 好了,关于XSS漏洞的简单修复思路的探讨,就暂告一段落,后续有新的见解再来补充完善。
阅读全文
网站建设

PHP跨站脚本攻击(XSS)漏洞修复方法(一)

今天又做了一回奥特曼(out man),居然才发现360的综合搜索变成了好搜!前几天,其实看到过一次好搜,但是以为又是DNS劫持出现的流氓搜索。 今天细看了下,居然是360综合搜索改头换面后的独立品牌:好搜(怎么读都有点山寨)。 一、惊现漏洞 好了,暂且不研究这名称到底咋样,顺手site了一下我2个网站:张戈博客和中国博客联盟。 结果,site中国博客联盟的结果吓我一跳: 很久没理过360搜索了,一看还真吓一跳!急忙进去看了下,y原来是XSS跨站攻击漏洞!之前听无主题的博主小武提到过一次,当时是WordPress开启颜色评论后造成的XSS漏洞,因为我懒得折腾就放弃了带颜色评论的功能,避免出现XSS漏洞。没想到,中国博客联盟居然出现这么多! 二、现身说法 什么叫XSS跨站攻击漏洞?专业理论性的解释我也懒得说,自己去百度。我就举个实际的例子来说明这玩意的危害好了! 就拿之前WordPress留言来举例好了。 默认状态下,WordPress是不允许带颜色评论的,但是我们可以通过在functions.php里面插入这2行代码,强行允许评论开放所有HTML代码: 这样修改之后,WordPress确实可以留言带颜色了,比如<font color="red">红色</font>。 但是,XSS漏洞也随机而来!最简单的演示就是在博客如下带上代码留言: 留言生效后,页面一加载就会自动跳到百度首页了! 这只是XSS漏洞的一个最简单的攻击例子之一而已,上次中国博客联盟就被一个小人挂过一次黑链!看了上面的例子,你应该很猜出是怎么挂的了吧?他注册了中国博客联盟的会员,然后在提交博客时额外提交了一段js代码,后台审核时,这个js就会操作我的数据库,在首页加入对方的友链。 这种SQL注入就更加危险了!所以,如果你的网站有XSS漏洞,最好还是修复一下,避免被小人利用! 三、修复方案 好了,下面说一下简单修复方法。 先来看下360给出的修复方案: 方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤: 可以利用下面这些函数对出现xss漏洞的参数进行过滤 PHP的htmlentities()或是htmlspecialchars()。 Python 的 cgi.escape()。 ASP 的 Server.HTMLEncode()。 ASP.NET 的 Server.HtmlEncode() 或功能更强的 Microsoft Anti-Cross Site Scripting Library Java 的 xssprotect(Open Source Library)。 Node.js 的 node-validator。 方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 ) 具体可以参考:http://webscan.360.cn/group/topic/tid/4571 之前小武就提到过,可以写代码过滤。能写代码当然好,但是自己写代码不但很麻烦,而且一个人能想到的正则过滤也可能会存在漏掉的风险,毕竟一个人考虑问题总是不会那么的全面和完善。既然360安全团队已经推出了修复插件,那不妨先试试。 我下载并部署了360写的PHP插件,感觉不错!而且WordPress颜色代码又可以安全的打开了,现在来分享一下,建议所有PHP网站都部署一下,有备无患! 四、部署方法 ①、下载插件 360提供的是专站专用的插件,插件代码会有和网站对应的KEY,所以下载前请修改下面的域名部分: 将上面下载地址中的yourdomain.com改为你的域名,然后浏览器访问即可下载专用插件: ②、上传插件 解压后,得到360safe文件夹,并上传至服务器根目录: ③、部署插件 按照360的部署教程,是要在网站的一个公用文件(如数据库的连接文件)中加入代码: 所以,WordPress网站可以选择添加到网站根目录下的index.php或数据库连接文件wp-config.php当中: 但是,玩WordPress的朋友都知道,这玩意更新频繁,每次版本更新,index.php这个文件十有八九是会替换的!所以最靠谱的方法是将以上代码添加到wp-config.php文件的第一个<?php 之后: 而且,任意建站程序都建议加到数据库连接文件当中,可谓一夫当关,万夫莫开! 五、最后验证 部署完插件了,咱们就来试试效果吧! ①、最简单的验证方法 直接在WordPress原生搜索带XSS特性的代码,比如搜索: 就会出现如下拦截页面: ②、带XSS攻击特征留言验证 依然和本文开头提到的那样,来测试留言: 结果显然可以猜到: 更令人欣慰的是,带颜色是可以评论的: 六、发现缺憾 本以为能全部修复了,结果再次扫描了下中国博客联盟,360自己打脸的现象出现了: 点进去看了下,发现已不是原来的攻击特征了: 特意试了下WordPress的评论是否会拦截,结果依然失望:   看来360写的正则过滤也不全面啊!最终还得靠自己! 七、下篇预告 在测试360的XSS防护插件存在缺憾之后,只能感叹360也就这样,真是失望哟! 于是,我决定自己写代码解决。几经折腾测试,最终搞定了这个问题! 先来2张效果预览: 鉴于本文篇幅已经过长,所以打算另开一篇文章,来分享一下最终XSS修复方法! 对XSS漏洞修复感兴趣的童鞋,敬请期待!
阅读全文
网站建设

网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

在360网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的Wordpress网站,那是必然会报。。。 这些漏洞,之前玛思阁就已经手动修复了,但是Wordpress升级后都被覆盖还原了,这不,又爆了8个漏洞! 虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修复下吧! 360给出的解决办法如下: 如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理: 1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息: A. 修改php.ini中的配置行: display_errors = off B. 修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off C. 修改php脚本,增加代码行: ini_set('display_errors', false); 2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1 PS:《360网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。 A、B方法需要修改php.ini或httpd.conf,除了VPS的主机外,就得找主机商帮忙才行,之前我跟主机商提这个问题的时候,就回了一句话:“不要在意这个,不会出什么问题!”只好作罢... 那我们只好采用C方法,通过修改php脚本来屏蔽路径暴露问题了!360给出的C方法,就是在php脚本头部增加代码行 ini_set('display_errors', false);  所以,修复这种漏洞的方法就是找到对应的文件,在文件里面加上以下代码即可: 当然,我们也可以将 ini_set('display_errors', false);  直接插入到已有的php语句中。 如果,找不到这个报漏洞的文件咋办?比如,图中的vote.php,玛思阁根本不存在这个文件! 其实,很简单,自己新建一个就好了!于是,在根目录新站vote.php,将上面代码粘贴进去保存即可。。。 感觉有点掩耳盗铃的感觉。。。。 再次检测结果:   以上就是修复“页面异常导致本地路径泄露”漏洞的一种简单办法,要注意的是,一旦Wordpress升级,被修改的wp原生php文件都会还原,所以又得苦逼的修改一次咯!
阅读全文