简介:
远程的攻击者可以通过一种极平常的配置(选中"错误报告"项),获得PHP文件的真实路径的信息.该信息可能被利用,造成对服务器的其他攻击.
细节:
受影响的系统:
PHP4.0LP2 及先前版本.
当服务器发现用户请求的www.andsky.com/something.php3页不存在时,会返回一个"Fatal Error",并给出该页的真实路径.
例如:
"Fatal error:无法打开/vhmap/i/n/t/andsky.com/todos.php3的第一行.输入的文件不存在."
解决方案:
PHP推荐的"正式"的方法是,关闭"错误报告"选项.(这个方法也许会造成其他的后果.)