文件绝对路径泄露

绝对路径泄露漏洞

1.1.1.1 漏洞原理及危害

在网站系统对用户提交的非法请求回复错误信息，或HTML、JaveScript等源码书写疏忽等情况下，易发生服务器系统某些文件的绝对路径泄露。

通过制造报错使应用泄露出应用在主机中的绝对地址路径，攻击者可以通过泄露的绝对路径，分析网站结构，为后续上传恶意后门（如webshell等）创造了条件。

1.1.1.2 检测方法

1. 填入异常数据，制造应用报错，通过报错信息获取绝对路径；

1. 打开网页，查看源代码，查看图片等媒体的链接及超链接，有的会展示存储的绝对路径；

2. 针对目标系统的中间件或应用框架，尝试访问默认接口，获取绝对路径。

1.1.1.3 修复建议

总体修复方式：审计网站前端代码，删除注释等位置是否包含文件路径；关闭中间件或Web框架自带的默认页面等文件；删除报错信息响应页面包含的绝对路径。