绝对路径泄露漏洞
1.1.1.1 漏洞原理及危害
在网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。
通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露的绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
1.1.1.2 检测方法
1. 填入异常数据,制造应用报错,通过报错信息获取绝对路径;
2. 打开网页,查看源代码,查看图片等媒体的链接及超链接,有的会展示存储的绝对路径;
3. 针对目标系统的中间件或应用框架,尝试访问默认接口,获取绝对路径。
文章来源:https://www.toymoban.com/news/detail-504574.html
1.1.1.3 修复建议
总体修复方式:审计网站前端代码,删除注释等位置是否包含文件路径;关闭中间件或Web框架自带的默认页面等文件;删除报错信息响应页面包含的绝对路径。文章来源地址https://www.toymoban.com/news/detail-504574.html
到了这里,关于文件绝对路径泄露的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!