Un'immagine che mostra un errore di eccezione sul mio sito rappresenta un grave rischio per la sicurezza?

1

Ho scritto un piccolo sito web in PHP e ZF2.

Avevi provato un amico pubblicandone un link su Facebook.

A quanto pare ho dimenticato di disattivare la segnalazione di ZendFramework e ha trovato un errore. Ha pubblicato una foto dell'errore.

Nella foto è esposto che sto usando ZF2 e il nome utente del mio account, e percorsi per l'errore che mostra la posizione del file ZF2.

/ home / utente / public_html, cose del genere

Esempio

An error occurred
Additional information:
Zend\Mail\Transport\Exception\RuntimeException
File:
/home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php:290
Message:
Unable to send mail: 
Stack trace:
#0 [internal function]: Zend\Mail\Transport\Sendmail->mailHandler('mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#1 /home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php(138): call_user_func(Array, 'mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#2 /home/username/public_html/domain.net/module/Commission/src/Mail/Mail.php(22): Zend\Mail\Transport\Sendmail->send(Object(Zend\Mail\Message))

(nome utente e dominio ed email nel messaggio sopra sono modificati)

Il testo sulla foto mette in pericolo la mia sicurezza?

Gli chiedo di portarlo giù?

    
posta dennismv 21.05.2016 - 16:20
fonte

2 risposte

1

Non dovresti mostrare eccezioni agli utenti e ha un leggero impatto sulla sicurezza.

Suppongo che tu abbia disabilitato le eccezioni e ora sei preoccupato per i dati che sono trapelati tramite lo screenshot:

Nome utente trapelato

I nomi utente non sono generalmente considerati informazioni riservate.

Potresti comunque voler mantenere il segreto come difesa in profondità, per rendere più difficili alcuni attacchi come bruteforce, phishing o escalation dei privilegi, ma la perdita di un nome utente non è generalmente considerata un problema di sicurezza.

Percorsi assoluti cancellati

Divulgazione completa del percorso potrebbe:

  • aiuto nello sfruttamento delle vulnerabilità LFI. [Anche se un utente malintenzionato potrebbe essere in grado di sfruttare LFI senza conoscere il percorso assoluto o potrebbe indovinare il percorso corretto.]
  • fornire informazioni sul sistema operativo. [Questo potrebbe aiutare a scoprire ulteriori vulnerabilità o potrebbe essere di aiuto nello sfruttamento di altre vulnerabilità esistenti.]
  • nomi utente del sistema di perdita. [vedi sopra.]
  • perde i nomi degli elenchi pubblici segreti e quindi porta alla divulgazione di informazioni sensibili. [anche se non dovresti fare affidamento sulla segretezza di una directory accessibile pubblicamente per proteggerti; la sicurezza attraverso l'oscurità non dovrebbe essere la tua principale linea di difesa.]

Conclusione

Da solo, è molto improbabile che le informazioni trapelate possano essere utilizzate per iniziare un attacco. Tuttavia, può rendere altre vulnerabilità esistenti leggermente più facili da sfruttare o aiutare a trovare ulteriori vulnerabilità.

In genere è preferibile mantenere queste informazioni private, quindi potresti voler cambiare il tuo nome utente e i percorsi, ma se non è facilmente fattibile, la sicurezza del tuo server non sarà gravemente compromessa se non lo fai .

    
risposta data 21.05.2016 - 22:35
fonte
0

In genere, questi errori sono davvero utili quando un utente malintenzionato tenta di compromettere il sito.  Nel tuo caso non è qualcosa di stravagante, l'unico vettore di attacco I è l'attacco brute-force / dictionary, poiché l'errore ha rivelato il tuo nome utente.

    
risposta data 21.05.2016 - 16:26
fonte