在 360 网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的 WordPress 网站,那是必然会报。。。
这些漏洞,之前玛思阁就已经手动修复了,但是 WordPress 升级后都被覆盖还原了,这不,又爆了 8 个漏洞!
虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修复下吧!
360 给出的解决办法如下:
如果 WEB 应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1、如果是 PHP 应用程序/Apache 服务器,可以通过修改 php 脚本、配置 php.ini 以及 httpd.conf 中的配置项来禁止显示错误信息:
A. 修改 php.ini 中的配置行: display_errors = off
B. 修改 httpd.conf/apache2.conf 中的配置行: php_flag display_errors off
C. 修改 php 脚本,增加代码行: ini_set('display_errors', false);2、如果是 IIS 并且是 支持 aspx 的环境,可以在网站根目录新建 web.config 文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1
PS:《360 网站安全检测》会去猜测敏感文件,如果您被报此漏洞,但又确实不存在提示的文件或路径的,只要关闭服务器的显示报错即可。
A、B 方法需要修改 php.ini 或 httpd.conf,除了 VPS 的主机外,就得找主机商帮忙才行,之前我跟主机商提这个问题的时候,就回了一句话:“不要在意这个,不会出什么问题!”只好作罢...
那我们只好采用 C 方法,通过修改 php 脚本来屏蔽路径暴露问题了!360 给出的 C 方法,就是在 php 脚本头部增加代码行 ini_set('display_errors', false);
所以,修复这种漏洞的方法就是找到对应的文件,在文件里面加上以下代码即可:
<?php
//在<?php 后面插入以下代码即可
ini_set('display_errors', false);
当然,我们也可以将 ini_set('display_errors', false); 直接插入到已有的 php 语句中。
如果,找不到这个报漏洞的文件咋办?比如,图中的 vote.php,玛思阁根本不存在这个文件!
其实,很简单,自己新建一个就好了!于是,在根目录新站 vote.php,将上面代码粘贴进去保存即可。。。
感觉有点掩耳盗铃的感觉。。。。
再次检测结果:
以上就是修复“页面异常导致本地路径泄露”漏洞的一种简单办法,要注意的是,一旦 WordPress 升级,被修改的 wp 原生 php 文件都会还原,所以又得苦逼的修改一次咯!
我的前两天也是有不少漏洞,也是要去改改
丢几句话就搞定了
不过不是严重漏洞就好了,否则危险了
我的一直有一个编辑器漏洞,说是要升级编辑器,但是我没有升。正在准备升级2.2
我也是一百分,不过是直接的直接,表示我不会那些扣分的错误。
wordpress一般都会报这个漏洞。
好像加个index.php也可以解决部分问题。~~~
是吗?有时间了解了解、
不会技术,懒得修复了
写得很直观拉~~照着改就行了。
从你的首页"最新评论"进来后为手机页面..
![[围观]](http://img.t.sinajs.cn/t35/style/images/common/face/ext/normal/f2/wg_org.gif "[围观]")
特授予您五星神站称号
我的加上"统计代码"会提示有漏洞,在后台改底部版权信息时会被“安全狗拦截
我开始也有 我和主机商一说 他立马说看下然后就改好了 主机商改方便多了 自己改麻烦- -
总结:不负责任的主机商。。
嗯,是的,主机商只要改一个地方就行了,咱们得这改那。
是啊 就是一个php.ini的配置问题 服务商改一劳永逸 省的用它主机的每个客户都要去改 绝对路径被爆是绝对有问题的 不算高危 至少是个中危漏洞
我也是用这种方法修改了部分页面,有个跨站脚本攻击漏洞还没找到解决方法。
可以入群交流:272279261
大赞啊。。哈哈~~