这些天,我突然在360网站安全检测上突然发现自己的网站检测评分不是100分,所以我甚是惊讶。不过后来我仔细看了360网站安全检测的结果报告后发现出现的三个漏洞全是同一个原因造成的。
360网站安全检测对该漏洞做出的描述是:
由于异常页面(如404页面),在报错信息中包含了你的服务器上的物理路径。
1、本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
2、通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。
该漏洞的主要危害是恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。
虽然一般情况下这个漏洞不会有太大的问题,但是作为一个站长,在可能的情况下不应该允许自己的网站和服务器出现任何可供黑客或不法分子作案的可乘之机。
随后,点击了360网站安全检测中给出的解决方案。可以看到360网站安全检测给出了三种常用的解决方案。
如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
1、修改php.ini中的配置行: display_errors = off
2、修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
3、修改php脚本,增加代码行: ini_set(‘display_errors’, false);
其中第三种方案适合没有对服务器具有管理权限的站长,如果你有可以修改服务器的权限,建议使用前两种方案进行设置,这样可以在后来的网站程序升级中不必重新进行设置,减少了不必要的麻烦。
如果你使用的是WDCP搭载的服务器,那么,你可以通过WDCP网页的管理界面直接进行设置并点击重启web即可。如图:
如果你不是用的WDCP程序,那么你可以通过PUTTY等可行的工具登录到你的服务器找到php.ini文件,并修改“display_errors = on”为“display_errors = off”,然后重启服务器即可。
有可能你没有修改管理服务器的权限,那么你可以使用第三种方法,对网站的网页进行设置。首先要找到网站程序的公共页面。我这里以Wordpress为例。找到主题文件的网页里的header.php页面,并在代码里添加
<?php ini_set(‘display_errors’, false); ?>
保存文件。如果是在本地修改的,就将该文件上传到服务器覆盖源文件。
完成上面的工作后,我们再来用360网站安全检测一下。
Duang!!!棒棒哒!!!100分!!!
强迫症的站长看到100分绝对是又兴奋又自豪的赶脚!!!
