Рейтинг:-1

Представляет ли публичное раскрытие абсолютного пути к системному файлу уязвимость системы безопасности, и если да, то как?

флаг dz

РЕДАКТИРОВАТЬ: я переформулировал заголовок и свой вопрос, чтобы они были более общими, а также более конкретными в отношении ответа, который я ищу.

Я сделал ошибку при внесении некоторых изменений в мои файлы PHP и использовал __КАТАЛОГ__ для динамического создания URL-адреса в перенаправлении. Таким образом, если пользователи нажмут на перенаправление из-за выхода из системы, они будут перенаправлены на URL-адрес, который выглядит примерно так: /home/filesystem/path/to/logoutpage.php в URL-адресе, который отображается в адресной строке пользователей.

Мой вопрос заключается в том, представляет ли публичное раскрытие абсолютного пути к системному файлу уязвимость в системе безопасности? И если да, то как это делает сайт/сервер уязвимым? Как это раскрывает данные? И если да, то может ли кто-нибудь описать, как будет выглядеть атака?

ВНЕШНЯЯ ПОМОЩЬ:

Я просмотрел лог-файлы, и все попытки доступа к этому URL-адресу (10 из них, которые, конечно же, привели к ошибке 404, так как по этому пути не существует файла) были сделаны либо мной, либо, насколько я могу судить, поисковой системой Sogou (см. мой комментарий ниже о том, как я это сделал.) Поскольку я думаю, что у Согуо есть более крупная рыба, чем попытки напасть на меня, я чувствую, что нет причин для беспокойства.

Я не раскрывал никаких файлов, содержащих конфигурацию, только файл, который представляет страницу, позволяющую снова войти в систему после выхода из системы.

Это небольшой веб-сайт, используемый частным сообществом друзей, доступный только для 35 зарегистрированных пользователей. Это только для информации; кроме хранения адресов электронной почты для идентификации входа, никакие другие данные пользователя не сохраняются.

Michael Hampton avatar
флаг cz
Проверьте журналы вашего веб-сервера.
флаг dz
В течение получаса происходит 10 обращений по URL-адресу перенаправления. 5 попаданий — это я, остальные 5 обращений — с 3 IP-адресов: 1 IP-адрес показывает Soguo UA, остальные 2 IP-адреса имеют по 2 обращения, в обоих случаях 1 обращение показывает Soguo UA; другой на том же IP-адресе показывает Mozilla/Mac, но все они находятся в пределах нескольких секунд друг от друга. Конечно, в пути перенаправления ничего не существует, поэтому все они являются 404 обращениями.Но все это говорит мне о том, что они не могли получить доступ к странице; он не говорит мне, может ли эта информация быть использована злонамеренно. Кстати, у этого сайта крайне низкий трафик.
флаг dz
Пожалуйста, извините за мою орфографию, должно быть Sogou.
djdomi avatar
флаг za
Отвечает ли это на ваш вопрос? [Что делать со скомпрометированным сервером?](https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server)
djdomi avatar
флаг za
В любом случае, если вы предоставили данные, которые вам не принадлежат, вы ВЫНУЖДЕНЫ связаться с владельцем данных или защитником, если вы живете в ЕС :-)
Рейтинг:2
флаг cz

Учитывая, что все попытки получить доступ к этим неверным URL-адресам привели к ошибке 404, единственное, что вы утекли, — это корень документа вашего веб-сервера. Злоумышленник должен знать это, чтобы получить доступ к файлам, которые вы обслуживаете, но сначала злоумышленник должен каким-то образом проникнуть внутрь. И если злоумышленник взломал, он может легко прочитать конфигурацию вашего веб-сервера, чтобы найти корень документа, или просто ковыряться в файловой системе, пока не найдет ее. Таким образом, вы отдали очень мало последствий.

флаг dz
Спасибо, Майкл, ваша уверенность полезна.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.