问:网站标题:
北京 英才幼儿园
域名:
www.yingcaikid.com
事件URL:
http://www.yingcaikid.com/Logfiles/
漏洞-信息泄露
安全等级:
中危
事件描述:
目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。
整改建议:
1、加强网站服务器配置,对默认错误信息进行修改,避免因客户端提交的非法请求导致服务器返回敏感信息。 2、尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。
北京 英才幼儿园日志泄露
Url:
http://www.yingcaikid.com/Logfiles/
可通过日志信息直接访问许多图片,敏感文件。
,漏洞-信息漏洞
答:您好,
1:虚拟主机php环境为统一配置,默认是开启了display error的,如不希望显示真实错误可通过程序代码的方式关闭debug调试即可,
2:同时主机默认有读写权限,如有目录权限的特殊需求可通过主机控制面板-文件管理功能进行权限设置,可对不需要的目录进行写入限制,
3:http://www.yingcaikid.com/Logfiles/ 这是日志文件存放目录,如没有日志查看需求可直接将此目录删除即可,
,非常感谢您长期对我司的支持!
问:1:虚拟主机php环境为统一配置,默认是开启了display error的,如不希望显示真实错误可通过程序代码的方式关闭debug调试即可,这个我不会啊,你们能帮我关闭吗?
答:您好,
这需要联系程序提供商协助处理,或通过主机控制面板-更换机房功能将主机更换为linux系统,即可自定义php.ini关闭display_error设置,非常感谢您长期对我司的支持!
问:这类漏洞该如何处理呢
答:您好
抱歉,查看到您在我司账户中有多个云服务器以及虚拟主机,请问是哪一个站点检测出现问题,请提供域名或ftp名我司帮您查看下,若是国内虚拟主机或国内云服务器,可直接开启百度云加速,百度云加速可预防sql注入攻击,,非常感谢您长期对我司的支持!
问:域名qlxww.cn,主机127.0.0.1
答:您好
非常抱歉给您带来不便了。
您提供的是云服务器,服务器内部是用户自己维护在管理,请你自行调整下,并且通过您截图看都是程序面漏洞,请你联系程序开发商帮你做下调整,,非常感谢您长期对我司的支持!