问:现在发现了一个问题,部署在虚拟主机上的站点可以访问一个链接泄露配置文件,但是服务器上部署的站点就没有这个问题,这些站点都是同一套源码。(显示400的是服务器站点,返回内容的是虚拟主机站点)
这些站点部署到了不同的服务器,都没出现这个问题,下面是虚拟主机的这些也都是部署到了不同的虚拟主机上的,但是都返回了配置文件的内容,希望你们帮忙解决下这个问题
,虚拟主机配置文件泄露
答:您好,这个是您程序的漏洞,data/config.inc.php文件,您程序本身就是要读取里面的数据库信息的,这个只能您程序上去做限制,比如在这个文件中去判断,要严格限制参数个数,具体参数名,如果程序不是您自己开发的, 需要联系程序开发人员,因为要结合程序本身去做考虑,不然我们直接给您限制了, 可能会影响程序正常的请求,非常感谢您长期对我司的支持!
问:那服务器上面都可以正常的拦截,能不能把虚拟主机的这个配置也设置成服务器的一样呢,服务器和虚拟主机是哪里的配置不一样呢
答:您好,您把php版本切换到5.3及以上即可, 比如http://yeerui.cn/min/?b=data/config.inc.php&f=jquery-1.4.2.min.js,validation/jquery.validata.js,form/jquery.form.js ,非常感谢您长期对我司的支持!
问:亲测可用,谢谢
答:您好,php5.2我们也加了waf限制,您不换php版本,这种请求也无法访问了,非常感谢您长期对我司的支持!
问:
咨询如何按网安大队进行整改?因为我们用的是虚拟主机
答:您好,2018hamasik主机所使用的nginx仅仅作为代理中转,不涉及文件解析,可忽略
,另外访问控制文件泄露,您的web服务使用的是iis,不存在.开头的文件,也可忽略
问:意思是他们扫描出来的漏洞我们可以以如上理由进行回复?
答:您好,可以这样回复。简单说目前没有漏洞,我司已做相应的安全设置。
问:我们在乎的是只要他们扫描,这个漏洞同样存在
答:您好,经核实,实际漏洞是不存在的。
如果你们只是关注报告本身,可以升级为云服务器,根据报告本身做相应的设置。登陆管理中心》业务管理》虚拟主机管理,点升级进行操作。
问:虚拟主机在哪里配置PHP文件
答:您好, 请详细说明一下 ,或截图说明,
一般php 文件放置到www 目录下,可以通过ftp 软件连接空间修改 ,若需修改php 版本可以通过虚拟主机管理面板–php 版本调整 ,
非常感谢您长期对我司的支持,谢谢!
问:我的意思是我想改一下php中的配置信息,把报错提示给关掉
答:您好
我们看您账号下有一个试用主机jia22 是一个win系统,win系统无法直接更改php配置,若需要更改,请您明天正常上班后联系我们为您更换到linux主机,linux主机可自己编辑php.ini做设置,,非常感谢您长期对我司的支持!
