Dopo aver eseguito la scansione del mio sito Web con uno strumento automatico, ottengo questo
È pericoloso, è una vulnerabilità o no? Se sì, cosa può fare un utente malintenzionato, come risolverlo?
Il messaggio di errore rivela la struttura completa del percorso file di questa web app e le versioni di Apache e del sistema operativo. Sono molte informazioni per consegnare un aggressore.
Più specifiche sono le caratteristiche di un attaccante, più l'attaccante può personalizzare i propri attacchi. La migliore pratica è nascondere queste informazioni, ma non fare affidamento sulla segretezza come mezzo per proteggersi (sicurezza per oscurità). Ma accecare il tuo attaccante è meglio che consegnargli i progetti sul tuo server.
La "correzione" standard per la divulgazione di informazioni nei messaggi di errore consiste nel creare messaggi di errore generici personalizzati che non includono tutti questi dati.
Leggi altre domande sui tag webserver