开发安全之:System Information Leak: External

Overview

在调用 phpinfo() 过程中,程序可能会显示系统数据或调试信息。由 phpinfo() 揭示的信息有助于攻击者制定攻击计划。

Details

当系统数据或调试信息通过套接字或网络连接使程序流向远程机器时,就会发生外部信息泄露。 **示例 1:**以下代码会将一个异常写入 HTTP 响应:

php 复制代码
<?php 
echo "Server error! Printing the backtrace"; 
debug_print_backtrace(); 
 ?>

依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。例如,凭借脚本机制,可以轻松将输出信息从"标准错误"或"标准输出"重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如"syslog"服务器。在开发过程中,您无法知道此信息最终可能显示的位置。

在某些情况下,该错误消息会告诉攻击者该系统易遭受的确切攻击类型。例如,数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。

Recommendations

编写错误消息时,始终要牢记安全性。在编码的过程中,尽量避免使用繁复的消息,提倡使用简短的错误消息。限制生成与存储繁复的输出数据可帮助管理员和程序员诊断问题。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。 即便是并未揭示栈踪迹或数据库转储的简短错误消息,也有可能帮助攻击者发起攻击。例如,"Access Denied"(拒绝访问)消息可以揭示系统中存在一个文件或用户。

相关推荐
GIS数据转换器7 小时前
2025无人机在农业生态中的应用实践
大数据·网络·人工智能·安全·无人机
广州华锐视点7 小时前
火电厂VR安全培训系统有哪些:广州华锐互动构建 “安全元宇宙” 生态
安全·vr
胡八一9 小时前
30 分钟上手 exp4j:在 Java 中安全、灵活地计算数学表达式
java·开发语言·安全
馨谙10 小时前
SSH密钥认证:从密码到密钥的安全升级指南
运维·安全·ssh
智驱力人工智能12 小时前
疲劳驾驶检测提升驾驶安全 疲劳行为检测 驾驶员疲劳检测系统 疲劳检测系统价格
人工智能·安全·目标检测·目标跟踪·视觉检测
wfsec19 小时前
区块链安全评估:守护数字世界的“安全密码”
安全·区块链
jianghx10241 天前
Docker部署ES,开启安全认证并且设置账号密码(已运行中)
安全·elasticsearch·docker·es账号密码设置
w23617346011 天前
Linux 服务器安全巡检与加固:从命令到实操(CentOS/Ubuntu 通用)
linux·服务器·安全·安全加固·安全巡检
星哥说事1 天前
网络安全设备:入侵检测系统(IDS)、入侵防御系统(IPS)的配置与使用
网络·安全·web安全
李白你好1 天前
一个Burp Suite插件,用于自动化检测图片上传功能中的XSS漏洞
安全·自动化·xss