問:網站標題:
北京 英才幼兒園
域名:
www.yingcaikid.com
事件URL:
http://www.yingcaikid.com/Logfiles/
漏洞-信息泄露
安全等級:
中危
事件描述:
目標網站WEB程序和服務器未屏蔽錯誤信息,未做有效權限控制,可能導致泄漏敏感信息,惡意攻擊者利用這些信息進行進一步滲透測試。
整改建議:
1、加強網站服務器配置,對默認錯誤信息進行修改,避免因客戶端提交的非法請求導致服務器返回敏感信息。 2、盡量不在網站目錄下存放備份、測試等可能泄露網站內容的文件。
北京 英才幼兒園日志泄露
Url:
http://www.yingcaikid.com/Logfiles/
可通過日志信息直接訪問許多圖片,敏感文件。
,漏洞-信息漏洞
答:您好,
1:虛擬主機php環境為統一配置,默認是開啟了display error的,如不希望顯示真實錯誤可通過程序代碼的方式關閉debug調試即可,
2:同時主機默認有讀寫權限,如有目錄權限的特殊需求可通過主機控制面板-文件管理功能進行權限設置,可對不需要的目錄進行寫入限制,
3:http://www.yingcaikid.com/Logfiles/ 這是日志文件存放目錄,如沒有日志查看需求可直接將此目錄刪除即可,
,非常感謝您長期對我司的支持!
問:1:虛擬主機php環境為統一配置,默認是開啟了display error的,如不希望顯示真實錯誤可通過程序代碼的方式關閉debug調試即可,這個我不會啊,你們能幫我關閉嗎?
答:您好,
這需要聯系程序提供商協助處理,或通過主機控制面板-更換機房功能將主機更換為linux系統,即可自定義php.ini關閉display_error設置,非常感謝您長期對我司的支持!
問:這類漏洞該如何處理呢
答:您好
抱歉,查看到您在我司賬戶中有多個云服務器以及虛擬主機,請問是哪一個站點檢測出現問題,請提供域名或ftp名我司幫您查看下,若是國內虛擬主機或國內云服務器,可直接開啟百度云加速,百度云加速可預防sql注入攻擊,,非常感謝您長期對我司的支持!
問:域名qlxww.cn,主機127.0.0.1
答:您好
非常抱歉給您帶來不便了。
您提供的是云服務器,服務器內部是用戶自己維護在管理,請你自行調整下,并且通過您截圖看都是程序面漏洞,請你聯系程序開發商幫你做下調整,,非常感謝您長期對我司的支持!
