web-dev-qa-db-ja.com

私のサイトで例外エラーを示す画像は、顕著なセキュリティリスクをもたらしますか?

PHPとZF2で小さなウェブサイトを書きました。

友人にFacebookにリンクを投稿してテストしてもらいました。

どうやら私はZendFrameworkレポートをオフにするのを忘れていたので、彼はエラーを見つけました。エラーの写真を投稿しました。

写真では、ZF2とアカウントのユーザー名を使用していることが公開されており、ZF2ファイルの場所を公開する際のエラーへのパスが示されています。

/ home/user/public_html、そのようなもの

An error occurred
Additional information:
Zend\Mail\Transport\Exception\RuntimeException
File:
/home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php:290
Message:
Unable to send mail: 
Stack trace:
#0 [internal function]: Zend\Mail\Transport\Sendmail->mailHandler('mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#1 /home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php(138): call_user_func(Array, 'mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#2 /home/username/public_html/domain.net/module/Commission/src/Mail/Mail.php(22): Zend\Mail\Transport\Sendmail->send(Object(Zend\Mail\Message))

(上記のメッセージのユーザー名とドメインおよび電子メールは変更されています)

写真のテキストは私のセキュリティを危険にさらしていますか?

私は彼にそれを降ろすように頼みますか?

1
dennismv

ユーザーに例外を表示しないでください そしてそれはセキュリティにわずかな影響を及ぼします。

例外を無効にしたと仮定し、スクリーンショットを介してリークされるデータについて心配しています。

リークされたユーザー名

ユーザー名は通常、機密情報とは見なされません。

ブルートフォース、フィッシング、特権昇格などの攻撃をより困難にするために、多層防御として秘密にしておくこともできますが、ユーザー名の漏洩は通常、セキュリティの問題とは見なされません。

リークされた絶対パス

フルパス開示 可能性があります:

  • lFIの脆弱性の悪用を支援します。 [ただし、攻撃者は絶対パスを知らなくてもLFIを悪用したり、正しいパスを推測したりする可能性があります。]
  • オペレーティングシステムに関する情報を提供します。 [これは、さらなる脆弱性の発見に役立つ可能性があります。または、他の既存の脆弱性の悪用に役立つ可能性があります。]
  • リークシステムのユーザー名。 [上記を参照。]
  • 秘密の公開ディレクトリの名前を漏らし、機密情報の開示につながる。 [あなたを保護するために公的にアクセス可能なディレクトリの秘密に頼るべきではありませんが;隠すことによるセキュリティを主な防衛線にするべきではありません。]

結論

漏洩した情報がそれ自体で攻撃を開始する可能性はほとんどありません。ただし、他の既存の脆弱性を利用しやすくしたり、さらなる脆弱性の発見を支援したりする可能性があります。

通常、この情報は非公開にすることをお勧めします。そのため、ユーザー名とパスを変更することをお勧めしますが、簡単に実行できない場合でも、変更しなくてもサーバーのセキュリティに深刻な影響はありません。

1
tim

一般に、これらのエラーは、攻撃者がサイトを危険にさらそうとしているときに非常に役立ちます。あなたの場合、それは派手なものではなく、唯一の攻撃ベクトル[〜#〜] i [〜#〜]参照はブルートフォース/辞書攻撃です。エラーによりユーザー名が公開されたためです。

0
nuclear3mbargo