开发安全之:System Information Leak: External

Overview

在调用 phpinfo() 过程中,程序可能会显示系统数据或调试信息。由 phpinfo() 揭示的信息有助于攻击者制定攻击计划。

Details

当系统数据或调试信息通过套接字或网络连接使程序流向远程机器时,就会发生外部信息泄露。 **示例 1:**以下代码会将一个异常写入 HTTP 响应:

php 复制代码
<?php 
echo "Server error! Printing the backtrace"; 
debug_print_backtrace(); 
 ?>

依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。例如,凭借脚本机制,可以轻松将输出信息从"标准错误"或"标准输出"重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如"syslog"服务器。在开发过程中,您无法知道此信息最终可能显示的位置。

在某些情况下,该错误消息会告诉攻击者该系统易遭受的确切攻击类型。例如,数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。

Recommendations

编写错误消息时,始终要牢记安全性。在编码的过程中,尽量避免使用繁复的消息,提倡使用简短的错误消息。限制生成与存储繁复的输出数据可帮助管理员和程序员诊断问题。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。 即便是并未揭示栈踪迹或数据库转储的简短错误消息,也有可能帮助攻击者发起攻击。例如,"Access Denied"(拒绝访问)消息可以揭示系统中存在一个文件或用户。

相关推荐
toto4126 小时前
线程安全与线程不安全
java·开发语言·安全
CESS_Cloud10 小时前
CESS 出席华盛顿区块链政策峰会:参与国家安全与数据隐私保护专题讨论
安全·阿里云·web3·去中心化·区块链
阿Q说代码11 小时前
合合信息:视觉内容安全技术的前沿进展与应用
后端·安全
痞老板212 小时前
【杂谈】虚拟机与EasyConnect运行巧设:Reqable助力指定应用流量专属化
运维·安全·fiddler·代理模式
m0_7482550213 小时前
新手参加2025年CTF大赛——Web题目的基本解题流程
前端·网络·安全
19999er14 小时前
CDN信息收集(小迪网络安全笔记~
服务器·网络·笔记·安全·web安全
网络安全queen15 小时前
网络安全-企业环境渗透2-wordpress任意文件读&&FFmpeg任意文件读
安全·web安全·ffmpeg
网络安全Jack15 小时前
从监控异常发现网络安全
安全·web安全
网络安全Ash15 小时前
网络安全的各个方面
安全·web安全
云云32117 小时前
云手机:小红书矩阵搭建方案
服务器·线性代数·安全·智能手机·矩阵