A哥

网站路径泄露风险问题修复建议

作者:A哥 发布时间: 2020-08-19      242 人阅读    本文共计751个字,预计阅读时长3分钟。

网站路径泄露风险问题修复建议

以下建议将有助于确保潜在攻击者不会从显示的任何错误消息中得到有价值的信息。
统一的错误代码:确保您不会使用不一致或“冲突的”错误消息而在无意中将信息提供给攻击者。例如,请不要通过错误消息(如“拒绝访问”)泄漏非预期信息,这样也会让攻击者知道他搜索的文件确实存在。对于存在、不存在以及拒绝读取权限的文件和文件夹,应使用一致的术语。
信息性错误消息:确保错误消息不会泄漏过多信息。完整或部分路径、变量和文件名、表中的行和列名称以及特定的数据库错误切不可泄漏给最终用户。请记住,攻击者将收集尽可能多的信息,然后将一些表面上无害的信息整合到一起即可策划攻击方法。 适当的错误处理:使用常规错误页面和错误处理逻辑向最终用户通知潜在问题。不要提供可供攻击者在策划攻击时使用的系统信息或其他数据。
修复措施:
将所有错误页面引导到一个指定的html页面;
我的apache服务器:修改http.conf
取消注释行
ErrorDocument 404 /missing.html
编写文件到网站根目录下存放
实例:

<!DOCTYPE html>
<html lang="en"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>页面不存在</title>
<nav data-state="closed">
<h1>404</h1>
        <p>您所寻找的页面不存在。你可以点击下面的按钮,返回主页。
        </p>
        <a href="http://你的域名地址m.cn"><button class="btn green">返回首页</button></a>
      </div>
    </div>
  </div>
</main>
</body></html>

效果图
file

本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!一切解释权归本站资源所有!转载请注明出处!如有链接无法下载、失效或广告,请联系管理员处理!本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!如用于商业或者非法用途,与本站无关,一切后果请用户自负!如遇到加密压缩包,默认解压密码为"www.pythondesign.cn",如遇到无法解压的请联系管理员!
Linux技术高效运维 » 网站路径泄露风险问题修复建议

常见问题FAQ

资源有效期多久?
凡是在本站购买下载的资源均可永久使用,无需再次购买,请用户放心下载使用。
没有下载到资源?
若成功购买未能下载获取资源,请右边点击客服联系在线客服处理!也可添加站长微信免费获取资源:pythondesign_cn
在哪里能够获得该资源?
点击本站资源页面,手机端资源页下方有"购买","下载"的字样,PC端右侧栏有"购买","下载"的字样,等点击即可获得!也可以点击QQ咨询,联系站长获取资源!

提供最优质的资源集合!如果说成功归于天赋和才华,倒不如说因为那持之以恒的专注!

立即查看