网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

在 360 网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的 WordPress 网站,那是必然会报。。。

这些漏洞,之前玛思阁就已经手动修复了,但是 WordPress 升级后都被覆盖还原了,这不,又爆了 8 个漏洞!

虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修复下吧!

360 给出的解决办法如下:

如果 WEB 应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理: 1、如果是 PHP 应用程序/Apache 服务器,可以通过修改 php 脚本、配置 php.ini 以及 httpd.conf 中的配置项来禁止显示错误信息: A. 修改 php.ini 中的配置行: display_errors = off B. 修改 httpd.conf/apache2.conf 中的配置行: php_flag display_errors off C. 修改 php 脚本,增加代码行: ini_set('display_errors', false); 2、如果是 IIS 并且是 支持 aspx 的环境,可以在网站根目录新建 web.config 文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1 PS:《360 网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。

A、B 方法需要修改 php.ini 或 httpd.conf,除了 VPS 的主机外,就得找主机商帮忙才行,之前我跟主机商提这个问题的时候,就回了一句话:“不要在意这个,不会出什么问题!”只好作罢...

那我们只好采用 C 方法,通过修改 php 脚本来屏蔽路径暴露问题了!360 给出的 C 方法,就是在 php 脚本头部增加代码行 ini_set('display_errors', false); 

所以,修复这种漏洞的方法就是找到对应的文件,在文件里面加上以下代码即可:

<?php
//在<?php后面插入以下代码即可
ini_set('display_errors', false);

当然,我们也可以将 ini_set('display_errors', false);  直接插入到已有的 php 语句中。

如果,找不到这个报漏洞的文件咋办?比如,图中的 vote.php,玛思阁根本不存在这个文件!

其实,很简单,自己新建一个就好了!于是,在根目录新站 vote.php,将上面代码粘贴进去保存即可。。。

感觉有点掩耳盗铃的感觉。。。。

再次检测结果:

以上就是修复“页面异常导致本地路径泄露”漏洞的一种简单办法,要注意的是,一旦 WordPress 升级,被修改的 wp 原生 php 文件都会还原,所以又得苦逼的修改一次咯!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏农夫安全

linux运维安全之账号基本安全

账号基本安全 1、 注释不要的账号 ? ? 前面加#可以注释掉 /etc/passwd /etc/group 原则:最小的权限+最少的服务=最大的安全 1、 ...

42270
来自专栏黑白安全

web安全之XSS

XSS: (Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。

8430
来自专栏FreeBuf

新型渗透思路:两种密码重置之综合利用

在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区...

8520
来自专栏测试开发架构之路

【终极答案】搭建selenium3.11 +Firefox+python3.6自动化UI测试环境踩的坑

1 运行之后,出现如下报错 Selenium.common.exceptions.WebDriverException: Message: 'geckodriv...

36380
来自专栏Python攻城狮

Django教程(一)- Django视图与网址1.简介2.环境搭建3.安装pycharm4.Ubuntu下 正确安装VMware Tools5.Django主要模块6.Django基本命令7. Dj

Django 是用Python开发的一个免费开源的Web框架,可以用于快速搭建高性能,优雅的网站!

16720
来自专栏地方网络工作室的专栏

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(十)打包项目并发布到子目录

Vue2+VueRouter2+Webpack+Axios 构建项目实战2017重制版(十)打包项目并发布到子目录 前情回顾 通过上一章《Vue2+VueRou...

26180
来自专栏向治洪

github pages + Hexo + 域名绑定搭建个人博客

环境 Windows 10(64 位) Git-2.7.4-64-bit  node-v4.4.7-x64 如果上述软件已经安装的,跳过,没有安装的下载安...

1.1K100
来自专栏c#开发者

Windows 2008 is activated

Windows 2008 is activated 网上有很多类似的文章但式过好多次都没有成功;这次下载了一个新的vista sp1激活工具,总算成功了;分享...

38760
来自专栏BestSDK

可能是开发小程序,最好用的两个编辑器

看我大 Visual Studio Code 相比于 Sublime,Visual Studio Code 是完全免费和开源的编辑器。当然,当初试用 VSCod...

5K40
来自专栏小白课代表

数据库 | MySQL 5.7 安装教程

54240

扫码关注云+社区

领取腾讯云代金券