最新消息:

nginx下页面异常导致本地路径泄漏解决方法

Nginx 大步 1351浏览 0评论

建站几天,都是忙着广告,哈哈,没办法,早点拉到广告,以后就不会突然加广告,让人反感了。我闲着没事就想测试下自己的网站 的安全性,但是服务器再国外,如果本地开工具,很耗费时间,索性就用360的网站安全检测  ,毕竟别人是服务器,不怕费电费时间,而且还免费不是吗?有3个页面存在页面异常导致本地路径泄漏—————————————————————————————————————————————————

开启检测,到360网站安全检测注册登录,然后选择安全监测,当然,360会提示你验证网站的所有权,要不谁都能扫描,那还不乱套。验证完之后就开始检测了。我们不用傻傻的开着那个显示检测进度的网页,而是可以设定接收检测结果的邮箱,关闭页面,检测一样在跑。有结果后就会发邮件给我们。我的得分是89分,有3个页面存在页面异常导致本地路径泄漏,我去测试下,确实存在这个问题,貌似是主题的开发人员的事情

其实这就是个不让nginx不显示错误的问题,

360的解决方案是:

1、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set('display_errors', false);

2、如果是IIS 并且是 支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改),或者可以参考这里:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=4560&extra=page%3D1

我的是nginx,不是apache,我试着修改php.ini文件,将display_errors 改为 off,但是问题依旧,依旧会报错,这是为什么呢?后来查看nginx和php-fpm文档,发现控制display_errors 的关键控制是由php-fpm控制的 。

大家可以测试下,在php.ini修改display_error = Off的情况下,在查看phpinfo(),依旧可以看到display_error 显示的是 on,也就是显示错误功能其实没有关闭,也就是说,php-fpm能够独立控制相关的参数,所以,还要带php-fpm下修改

<value name="display_errors">0</value> ,其中0 表示不显示错误,1表示开启

当然,我们也可以选择注释掉。 然后是php-fpm reload ,在测试就不会有报错显示了。

我测试发现,好像我们只要用php-fpm下设置关闭了报错信息显示,无论php.ini下的设置如何,display errror都是报错的。

虽然我自己解决了问题,但是我在德问网还是得到了好心的网友的解答,以下是冯义军网友的解答,相当工整认真,德问网很专业的编程相关的解答网站,建议有问题还是先看文档或者到专业的技术论坛找帮助。

先在一个没有错误的页面中,写入:

  1. echo ini_get('display_errors');

如果输出为 0 则配置成功(不显示错误),如果输出为 1 ,说明php配置文件中的display_errors为on.

修改了php.ini 文件还需要重启php-fpm或者重新加载配置文件,如:

  1. /xxx/php/sbin/php-fpm restart

  2. /xxx/php/sbin/php-fpm reload

  3. /xxx 为你实际的路径

有人会问,为什么不直接将php的语法错误解决,就可以不出现网站目录暴露了,但是问题是,你要不断调试网站的代码,而这 个时候你并不希望他显示给别有用心 人,所以我建议将error的信息写入到log,方便我们自己调试代码,而又可以避免暴露出网站的路径。

作为一个不要脸的人,我又再次跑去测试了下,两个小时后,满分

说是满分,其实我们知道只不过是360的只能通过已知的漏洞来测试,还有其他漏洞没弄,

说以我接下来,要开启登录侧说限制,和ip限制,ssl登录等一系列的方法,保证安全。

以下为参考的文档:

  1. display_errors设置为Off无效,仍然输出报错

  2. 实战Nginx与PHP(FastCGI)的安装、配置与优化
  3. 德问网该问题页面,网友的解答
  4. nginx错误输出修改


 

 

转载请注明:大步's Blog » nginx下页面异常导致本地路径泄漏解决方法

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
SiteMap