开发安全之:System Information Leak: External

Overview

在调用 phpinfo() 过程中,程序可能会显示系统数据或调试信息。由 phpinfo() 揭示的信息有助于攻击者制定攻击计划。

Details

当系统数据或调试信息通过套接字或网络连接使程序流向远程机器时,就会发生外部信息泄露。 **示例 1:**以下代码会将一个异常写入 HTTP 响应:

php 复制代码
<?php 
echo "Server error! Printing the backtrace"; 
debug_print_backtrace(); 
 ?>

依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。例如,凭借脚本机制,可以轻松将输出信息从"标准错误"或"标准输出"重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如"syslog"服务器。在开发过程中,您无法知道此信息最终可能显示的位置。

在某些情况下,该错误消息会告诉攻击者该系统易遭受的确切攻击类型。例如,数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。

Recommendations

编写错误消息时,始终要牢记安全性。在编码的过程中,尽量避免使用繁复的消息,提倡使用简短的错误消息。限制生成与存储繁复的输出数据可帮助管理员和程序员诊断问题。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。 即便是并未揭示栈踪迹或数据库转储的简短错误消息,也有可能帮助攻击者发起攻击。例如,"Access Denied"(拒绝访问)消息可以揭示系统中存在一个文件或用户。

相关推荐
FIN66689 小时前
新天力:食品容器安全与创新的领航者
科技·安全·产品运营·创业创新·制造
alex1009 小时前
BeaverTails数据集:大模型安全对齐的关键资源与实战应用
人工智能·算法·安全
鹿鸣天涯9 小时前
Kali Linux 2025.3 正式发布:更贴近前沿的安全平台
linux·运维·安全
!chen9 小时前
Harbor磁盘空间清理指南:如何安全清理半年前的镜像
安全
alex1009 小时前
Context Compliance Attack:大模型安全的新兴威胁与防御策略
网络·安全·web安全
xiejava101813 小时前
开源安全管理平台wazuh-安装与配置
安全·开源
粟悟饭&龟波功14 小时前
【网络安全】三、入门篇:Web安全常见漏洞概述
安全·web安全
FIN666815 小时前
新天力科技IPO进行时:技术引领未来,创新驱动发展
科技·安全·搜索引擎·产品运营·创业创新·制造
pingao14137815 小时前
道路交通气象站:筑牢交通出行安全防线的智能监测卫士
安全
通信瓦工16 小时前
IEC 62368-1-2023音视频、信息技术和通信技术设备安全标准标准介绍
安全·信息技术·标准下载·标准翻译